شاشة تحديث ويندوز مزيفة تسرق بيانات المستخدمين

مقدمة

عاد مجرمو الإنترنت إلى الواجهة بأساليب أكثر جرأة، بعد انتشار نسخة محدثة من برمجية ClickFix الخبيثة التي تتخفّى داخل شاشة وهمية لتحديث نظام ويندوز، مستهدفة المستخدمين الذين يثقون بأي نافذة تحمل شعار “Windows Update”.

وبحسب باحثي الأمن السيبراني في شركة Huntress، تعتمد الهجمة على عرض شاشة تحديث كاملة تغطي المتصفح بالكامل وتبدو مقنعة جداً، لدرجة تدفع المستخدم إلى تنفيذ تعليمات خطيرة عبر خطوة بسيطة واحدة: نسخ ولصق أمر جاهز.

كيف تظهر شاشة التحديث المزيفة؟

تظهر الشاشة المزيفة غالباً أثناء زيارة مواقع مشبوهة، خاصة صفحات البث الإباحية المليئة بالإعلانات المنبثقة، وفق تقرير موقع gizmochina.

يكفي ضغط المستخدم على إعلان أو زر “تحقق من العمر” حتى يتحول المتصفح فجأة إلى شاشة “تحديث ويندوز” تبدو عالقة عند 95%.

بعدها يطلب النظام الوهمي من الضحية الضغط على Windows + R ولصق أمر معين لإكمال التحديث. وهنا يبدأ الهجوم الحقيقي.

ماذا يحدث خلف الكواليس؟

الأمر الذي يطلب من المستخدم لصقه يقوم بتشغيل أداة mshta المدمجة في نظام ويندوز، بهدف تحميل برمجية خبيثة من خادم خارجي.

ولتجنب اكتشافها، يضيف المهاجمون عشرات الأسطر من الشيفرة العبثية لإرباك الأدوات الأمنية.

كما تُخفى أجزاء من الشيفرة داخل صورة PNG عبر تقنية تُعرف باسم steganography، حيث تستخرج البرمجية التعليمات المدمجة داخل البكسلات ثم تقوم بحقن نفسها داخل عمليات النظام باستخدام إطار .NET.

المرحلة الثانية.. سرقة لكل شيء تقريباً

بعد التسلل، تقوم البرمجية بتنزيل أدوات سرقة المعلومات مثل Rhadamanthys وLummaC2، لتبدأ حملة جمع واسعة تشمل:

• كلمات المرور المحفوظة
• ملفات تعريف المتصفح (Cookies)
• بيانات تسجيل الدخول للحسابات البنكية
• محافظ العملات المشفرة

جميع البيانات المسروقة تُرسل مباشرة إلى خوادم المهاجمين.

حملة ما زالت نشطة

تشير التحليلات الأمنية إلى أن الحملة مستمرة منذ أكتوبر الماضي، مع تشغيل عدة نطاقات مخصصة لشاشة “التحديث المزيف”.

وعثر الخبراء داخل الشيفرة على أسطر عشوائية لا معنى لها، بينها إشارة غريبة إلى خطاب قديم في الأمم المتحدة، وهو تكتيك يستخدمه المهاجمون لإرباك الباحثين ومنعهم من فهم آلية الهجوم بسرعة.

خاتمة

الهجمة الجديدة لبرمجية ClickFix تؤكد أن القراصنة يواصلون تطوير أساليبهم لخداع المستخدمين، من خلال محاكاة واجهات مألوفة مثل “تحديث ويندوز”. ويبقى الحل الأهم هو عدم الوثوق بأي نافذة تطلب تنفيذ أوامر يدوياً، وتجنب المواقع المشبوهة التي تُعد المصدر الأساسي لهذه الهجمات.