شاشة تحديث ويندوز مزيفة تخدع مستخدمي ويندوز لتثبيت البرمجيات الخبيثة
الهجمات الهندسية الاجتماعية لا تزال على الأرجح من أكثر الطرق المستخدمة لإصابة الحاسوب أو سرقة بيانات شخص ما. الهجوم الهندسي الاجتماعي المنفذ بشكل جيد يمكن أن يكون له عواقب سيئة جدًا. هذا الهجوم هنا يشمل حتى شاشة تحديث ويندوز مزيفة لإنهاء الأمور.
كشف باحثو الأمن السيبراني عن تطور متقدم في هجمات الهندسة الاجتماعية من نوع "ClickFix"، حيث أصبح المهاجمون الآن يجمعون بين عروض وهمية واقعية لتحديثات Windows وتقنيات الهندسة الاجتماعية المتقدمة لاختراق الأنظمة. وإذا لم تكن تعرف ما هي هجمة ClickFix، فإن هدفها هو خداع المستخدم للقيام بإجراء غالبًا ما تمنعه برامج الأمان عند تنفيذه تلقائيًا.
في هذه المتغيرات الجديدة، يواجه الضحايا صفحات متصفح كاملة تحاكي تحديث أمني مهم لنظام ويندوز أو اختبار تحقق من البشر "كابتشا". تقوم الصفحة بتوجيه المستخدم للضغط على تسلسل محدد من المفاتيح لحل خطأ أو للتحقق من هويته. دون علم المستخدم، يكون JavaScript الذي يعمل على الموقع الضار قد نسخ بالفعل أمرًا خبيثًا إلى الحافظة الخاصة بهم. عندما يتبع المستخدم تعليمات الضغط على المفاتيح (غالبًا ما تتضمن اللصق في مربع تشغيل ويندوز أو موجه الأوامر)، فإنه ينفذ عن غير قصد شفرة المهاجم.
إنه في الواقع ذكي جدًا، ولهذا السبب هو مخيف. ما يجعل هذه الحملة محددة مميزة هو استخدام التشوير لإخفاء الحمولة البرمجية الخبيثة. بدلاً من تنزيل ملف خبيث معروف، يقوم المهاجمون بإخفاء الشفرة داخل بيانات البكسل لصور PNG.
شرح باحثو شركة Huntress أن الشيفرة الخبيثة مشفرة مباشرة داخل قنوات الألوان المحددة في الصورة. للمراقب العادي أو لفحص أمني بسيط، يبدو الملف كصورة غير ضارة. ومع ذلك، تتضمن سلسلة الهجوم تجميع .NET معروف باسم "Stego Loader". هذا المحمل مسؤول عن تحليل الصورة، واستخراج الحمولة المشفرة من البكسلات، وفك تشفيرها في الذاكرة.
تتمثل الطريقة التي يعمل بها هذا في أنك تزور موقعًا يعرض خطأً مزيفًا بملء الشاشة، مثل تحديث ويندوز المتوقف أو فحص "تحقق من أنك إنسان". تقوم السكربتات الموجودة في الخلفية على الموقع بسرقة رموز ضارة إلى حافظة الكمبيوتر الخاصة بك. يطلب منك الشاشة فتح نافذة "تشغيل" في ويندوز ولصق النص لإصلاح المشكلة، وبمجرد الضغط على "إدخال"، يقوم الأمر بتنزيل ملف صورة يبدو غير ضار، ولكنه في الحقيقة يحتوي على البرمجيات الضارة التي يتم فك تشفيرها بواسطة Stego Loader. تبدأ دالة نقطة الدخول بإطلاق استدعاءات لعشرة آلاف دالة فارغة لاستنزاف أو إرباك أدوات التحليل قبل تنفيذ الحمولة الفعلية.
ربما لن أكون أنا أو أنت ضحايا لهذا. لكن فكر في شخص أكبر سنًا قد ينخدع بهذا—ربما بالنقر على الرابط الخطأ على الإنترنت. كارثة في انتظار الحدوث. لمنع ذلك، يمكنك تعطيل مربع التشغيل على جهاز الكمبيوتر الخاص بجدك، لكن ليس هناك الكثير مما يمكنك فعله.