🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

منشئو YouTube تحت الحصار مرة أخرى: تقنية Clickflix تغذي هجمات البرامج الضارة

في تطور جديد مخيف لتهديد قديم، يستهدف مجرمو الإنترنت مرة أخرى منشئي YouTube - هذه المرة باستخدام تقنية ذكية خبيثة يطلق عليها اسم Clickflix. يتنكر المهاجمون في صورة تعاون شرعي للعلامة التجارية، ويجذبون منشئي المحتوى إلى تنفيذ نصوص PowerShell الضارة التي تسرق بصمت بيانات اعتماد المتصفح وبيانات محفظة التشفير والمزيد. يتعمق تحقيق CloudSek الأخير في هذه الحملة سريعة التطور، ويكشف كيف يقوم المهاجمون بتسليح بوابات Microsoft المزيفة، والتلاعب بإجراءات الحافظة، والحفاظ على الثبات الخفي. إذا كنت منشئًا أو محترفًا في مجال الأمان أو ترغب ببساطة في معرفة أحدث ابتكارات البرامج الضارة - يجب قراءة هذا التقرير.

مايانك ساهاريا
March 25, 2025
Green Alert
Last Update posted on
August 21, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك.

يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

يلقي هذا التقرير الضوء على حملة البرامج الضارة المعقدة التي تهدف إلى منشئو YouTube من خلال التصيد الاحتيالي. يستغل المهاجمون أسماء العلامات التجارية الموثوقة وعروض التعاون المهني لتقديم مرفقات ضارة. من خلال توظيف تقنية كليكفليكس لتوصيل البرامج الضارة، فإنها تزيد من خداعهم. تم تصميم سطور موضوع البريد الإلكتروني والمحتوى بدقة لمحاكاة فرص العمل المشروعة، مثل العروض الترويجية ومقترحات الشراكة والتعاون التسويقي.

أثناء الاستهداف منشئو YouTube ليس تكتيكًا جديدًا، حيث قمنا سابقًا بتغطية حملة مماثلة في هذا أبلغ عن، استخدام تقنية كليكفليكس يمثل تقدمًا جديدًا يتطلب مزيدًا من التحقيق.

تستخدم الجهات الفاعلة في مجال التهديد تقنية كليكفليكس إلى الهدف منشئو YouTube من خلال رسائل البريد الإلكتروني المخادعة المتخفية في صورة مواد ترويجية أو عقود أو مقترحات تجارية. تحتوي رسائل البريد الإلكتروني هذه على مرفقات ضارة، مثل مستندات Word أو ملفات PDF أو ملفات Excel، والتي تعمل بمثابة ناقل العدوى الأولي. يعتمد الهجوم على الهندسة الاجتماعية، وخداع الضحايا لنسخ ولصق نصوص PowerShell التي تنفذ برامج ضارة على أنظمتهم. بمجرد تنشيط البرنامج الضار يسرق بيانات المتصفح، بما في ذلك بيانات اعتماد تسجيل الدخول وملفات تعريف الارتباط والمحافظ، أو يمنح الوصول عن بُعد للمهاجمين. تستغل هذه الحملة على وجه التحديد اهتمام منشئي YouTube بـ صفقات العلامات التجارية والشراكات لزيادة فعاليتها.

خريطة ذهنية لحملة البرامج الضارة

نظرة عامة:

كشف فريق أبحاث التهديدات في CloudSek عن حملة برامج ضارة يقوم فيها ممثلو التهديد بانتحال شخصية العلامات التجارية الشهيرة Pictory وعروض تعاونهم المهني كتمويه لتوزيع البرامج الضارة باستخدام تقنية clickflix. في البريد الإلكتروني أدناه، يقدم ممثل التهديد اقتراحًا للتعاون مع العلامة التجارية من فريق Pictory (منصة إنشاء الفيديو).

تعرض اللقطة بريدًا إلكترونيًا من Threat actor لتسهيل العملية باستخدام نموذج الدفع

بمجرد أن ينقر المستخدم على رابط نموذج الدفع، يتم فتح مستند Google يحتوي على جميع التفاصيل لمزيد من العملية المقدمة.

تعرض اللقطة مستند Google الذي يحتوي على عملية الدفع.

أسفل مستند Google، اطلب فتح «نموذج التحويل البنكي» في ملف Word لعملية دفع سلسة.

مستند Google مضمن رابط ClickFlix في نموذج التحويل البنكي

ومن المثير للاهتمام أن ممثل التهديد قد أنشأ صفحة ويب مزيفة لشركة Microsoft تشبه Microsoft Word. عرضت الصفحة أيضًا رسالة خطأ تفيد بأن «ملحق 'Word Online' غير مثبت»، وعرضت خيارين للمتابعة: «كيفية الإصلاح» و «الإصلاح التلقائي».

موقع ويب مزيف لـ Microsoft Office مع خطأ في التراكب

أدى النقر فوق الزر «كيفية الإصلاح» إلى نسخ أمر PowerShell المشفر باستخدام base64 إلى حافظة الكمبيوتر، وتغيرت الرسالة الموجودة على الصفحة لتوجيه الهدف لفتح محطة PowerShell والنقر بزر الماوس الأيمن على نافذة وحدة التحكم. يؤدي النقر بزر الماوس الأيمن فوق نافذة طرفية إلى لصق محتوى الحافظة وتنفيذ PowerShell.

يتبع الضحية التعليمات الواردة من التراكب وينسخ نص PowerShell بالنقر فوق «كيفية الإصلاح»

التحليل والإسناد:

أثناء التحقق من الكود المصدري لصفحة الويب، يبدو أن البرامج النصية غامضة للغاية ومصممة للتلاعب بسلوك المتصفح، على الأرجح لأغراض ضارة أو خادعة.

تحتوي صفحة الويب الضارة على تعليمات برمجية غامضة

تتضمن صفحة الويب الضارة هذه اكتشافًا يستند إلى وكيل المستخدم ولا يتم تنفيذها إلا عند الوصول إليها من جهاز كمبيوتر شخصي أو كمبيوتر محمول.

تتضمن صفحة الويب الاكتشاف المستند إلى وكيل المستخدم

حقن المحتوى في الحافظة

يحتوي السطر من الحافظة على أمر PowerShell المشفر من Base64 والذي يصل إلى عنوان URL المحدد هناك وينفذ محتوى الصفحة. يوجد داخل هذا المحتوى نص PowerShell غامض يقوم في النهاية بتنزيل الحمولة الضارة.

برنامج بوويرشيل النصي الضار

تفصيل السيناريو وتحليله:

يبدو أن برنامج PowerShell هذا عبارة عن جزء من التعليمات البرمجية الضارة المصممة لجمع ملفات معينة والتفاعل مع الخوادم البعيدة لتنفيذ حمولات ضارة محتملة. في ما يلي تفصيل لما يفعله كل جزء:

تدفق DNS: يمسح ذاكرة التخزين المؤقت لـ DNS لإزالة آثار النشاط الضار السابق.

الثبات الوظيفي المجدول: يقوم البرنامج النصي بإنشاء مهمة مجدولة «fs3s3s8s» يتم تشغيله إلى أجل غير مسمى كل دقيقة، مع الحفاظ على المثابرة.

الوصول إلى البيئة: يؤدي هذا إلى استرداد المسار إلى المجلد «الأخير»، الذي يخزن عادةً الملفات التي تم الوصول إليها مؤخرًا. ثم يبحث عن الملفات ذات الامتداد.normaldaki في هذا المجلد. قد تكون هذه الملفات ملفات ضارة أو أفخاخ تستخدم لمزيد من التنفيذ.

طلبات HTTP: يقوم بجلب المحتوى الضار من الخوادم البعيدة للتنفيذ.

فك تشفير Base64 وتنفيذ التعليمات البرمجية الديناميكية: ينفذ البرامج النصية المشفرة بـ Base64، وهي تقنية تشويش تستخدم في البرامج الضارة.

تحميل التجميع الديناميكي: يقوم البرنامج النصي بتحميل التعليمات البرمجية وتنفيذها ديناميكيًا في الذاكرة، مع تجنب الاكتشاف من خلال عدم الكتابة إلى القرص.

القيادة والتحكم:

تتواصل البرامج الضارة مع خوادم Command and Control (C2) لتصفية البيانات المسروقة. في البداية، يحاول تقديم طلب DNS إلى flowers.what-is-game.xyz

لقطة من البرامج الضارة التي تتصل بـ flowers.what-is-game.xyz

بعد إصابة النظام، يقوم السارق بإنشاء اتصال بخوادم الأوامر والتحكم (C2) لتصفية البيانات المسروقة. وهي تحاول الاتصال بنطاقات خادم C2 باستخدام نطاق المستوى الأعلى «.xyz» (TLD). تستخدم الجهات الفاعلة في مجال التهديد شبكات توصيل المحتوى (CDN) لتوزيع الحمولة وخوادم C2 لتسريب البيانات.

طلب نظام أسماء النطاقات إلى cdn.findfakesnake.xyz وكات-واتشز-Site.xyz 104.78.173.167

لقطة من البرامج الضارة التي تتصل بـ cdn.findfakesnake.xyz وcat-watches-site.xyz

طلب نظام أسماء النطاقات إلى cdn.cart-newlocate.xyz

لقطة من البرامج الضارة التي تتصل بـ cdn.cart-newlocate.xyz

شجرة العمليات:

شجرة العمليات

المتصفح وملفات تعريف الارتباط:

يحاول Lumma stealer سرقة جميع بيانات المتصفح من خلال استهداف بيانات الاعتماد المخزنة وملفات تعريف الارتباط ومعلومات الملء التلقائي وسجل التصفح. يمكنه استخراج كلمات المرور المحفوظة ورموز الجلسة والتفاصيل الحساسة الأخرى من متصفحات الويب، مما يسمح للمهاجمين بالوصول غير المصرح به إلى الحسابات.

لقطة من البرامج الضارة التي تجمع جميع بيانات المتصفح

التطبيقات المستندة إلى Mozilla:

يجمع السارق بيانات المستخدم من مسارات محددة مرتبطة بالعديد من التطبيقات المستندة إلى Mozilla، بما في ذلك Firefox و Thunderbird و Pale Moon، إلى جانب المتصفحات الأقل شهرة مثل K-Meleon و Cyberfox. توجد مسارات البيانات هذه عادةً في مجلد AppData الخاص بالمستخدم ضمن التجوال.

لقطة من البرامج الضارة التي تجمع جميع بيانات التطبيقات المستندة إلى mozilla

المتصفحات المستندة إلى الكروم:

بعد ذلك، يسترد البيانات من مسارات محددة مرتبطة بمختلف المتصفحات المستندة إلى Chromium، مثل Google Chrome و Opera و Brave والبدائل مثل Vivaldi و Yandex. بالإضافة إلى ذلك، فإنه يحدد الأدلة المتعلقة بالألعاب والبرامج الأخرى، ويسلط الضوء على المواقع التي قد يتم تخزين بيانات المستخدم فيها محليًا.

لقطة من البرامج الضارة التي تجمع جميع بيانات التطبيقات المستندة إلى Chromium

ملحقات المحفظة والمصادقة:

ثم تقوم باستخراج البيانات من 280 محفظة للعملات المشفرة إذا كانت موجودة على النظام، وتستهدف تلك المدرجة في قائمة محددة مسبقًا.

لقطة من البرامج الضارة التي تجمع 280 من بيانات محفظة العملات المشفرة

البنية التحتية لممثل تهديد الصيد:

كشف تحقيقنا المتعمق في البنية التحتية لممثل التهديد أن حساب Google Drive المضمن بعنوان Clickflix الضار لمدفوعات مؤلفي YouTube مرتبط بالبريد الإلكتروني «[email protected]». لاحظنا أيضًا أنه تم تحديثه آخر مرة في 18/02/2025.

لقطة تحتوي على تفاصيل منشئ Google Drive

خلال تحقيق OSINT الخاص بنا على «[email protected]،» اكتشفنا مراجعة مثيرة للاهتمام لخرائط Google لموتيل كابري، الواقع في أوكول كاد، جوكشيدير، موتلو سك. 2/أ، 77400 تيرمال/يالوفا، تركيا. تم تأليف المراجعة من قبل شخص يستخدم الاسم أوبري تشابمان. يمكن أن ينتمي هذا الحساب إلى ممثل التهديد أو أن يكون حسابًا مخترقًا.

مراجعة خريطة Google من البريد الإلكتروني [email protected]، اسمها أوبري تشابمان

تكتيكات وتقنيات MITRE ATT&CK:

ATT&CK Tactic Technique & ID Description
Initial Access Spearphishing Link (T1566.002) The threat actor sends a targeted phishing email containing a malicious link. When the recipient clicks the link, they are redirected to a compromised or attacker-controlled website designed to deliver malware.
Execution Windows Management Instrumentation (T1047) Utilizes WMI to access system data within .NET.
Defense Evasion Obfuscated Files or Information (T1027) Uses DPAPI for data encryption, applies BCrypt for cryptographic operations, and encodes data in Base64.
Defense Evasion Deobfuscate/Decode Files or Information (T1140) Decodes Base64-encoded data within .NET.
Discovery System Information Discovery (T1082) Retrieves OS version, checks processor core count, accesses environment variables, and identifies the hostname.
Discovery File and Directory Discovery (T1083) Verifies the existence of files and directories, retrieves common file paths, and enumerates files on Windows.
Discovery Process Discovery (T1057) Lists active processes and identifies specific processes by name.
Discovery Software Discovery (T1518) Gathers details about installed and running software by enumerating processes.
Collection Data from Information Repositories (T1213) Extracts data from WMI repositories through specific queries.
Command and Control C2 Communication (T1071) The threat actor establishes communication with a Command and Control (C2) server to receive instructions, exfiltrate stolen data, or download additional payloads. This communication can take various forms, such as HTTPS, DNS tunneling, or encrypted channels, to evade detection.

مؤشرات التسوية (IOCs):

Hash's 256 Filename
cace23a661e2792804416147df9dcf3ef59ebf56cfaf
9c20d0813aa5f0d95613
archivo.txt
URL Label
Google Drive Link Google Drive
ClickFlix Link ClickFlix webpage
flowers.what-is-game.xyz c2
cat-watches-site.xyz c2
cdn.findfakesnake.xyz c2
cdn.cart-newlocate.xyz c2
https://cat-watches-site.xyz/api/$jeep API call
Email Label
[email protected] Google Drive Owner
[email protected] Spearphishing Email
IPv4
104.21.38.22 104.78.173.167
172.67.199.240

الاستنتاج:

تمثل تقنية Clickflix للهندسة الاجتماعية طريقة خادعة للغاية لتسليم البرامج الضارة. من خلال تضمين البرامج النصية المشفرة باستخدام base64 ضمن مطالبات الخطأ التي تبدو مشروعة، يتلاعب المهاجمون بالمستخدمين لتنفيذ سلسلة من الإجراءات التي تؤدي إلى تشغيل أوامر PowerShell الضارة دون علمهم. عادةً ما تقوم هذه الأوامر بتنزيل وتنفيذ الحمولات، مثل ملفات HTA، من الخوادم البعيدة، مما يؤدي إلى نشر برامج ضارة مثل Lumma Stealer.

بمجرد أن تصبح البرامج الضارة نشطة، فإنها تبدأ العديد من العمليات الضارة، بما في ذلك سرقة البيانات الشخصية للمستخدمين ونقلها إلى خادم الأوامر والتحكم (C2) الخاص بها. غالبًا ما تتضمن سلسلة الهجوم آليات التخفي والمثابرة، مثل مسح محتويات الحافظة وتشغيل العمليات في الخلفية لتجنب الاكتشاف. من خلال إخفاء البرامج النصية الضارة في صورة تنبيهات النظام أو رسائل استكشاف الأخطاء وإصلاحها، يخدع المهاجمون المستخدمين بشكل فعال لتسهيل تنفيذ البرامج الضارة، مما يؤدي إلى اختراق النظام.

توصيات للتخفيف من حملة Clickflix للبرامج الضارة

للحماية من حملة Clickflix للبرامج الضارة، يجب على المؤسسات والأفراد تنفيذ الإجراءات الأمنية التالية:
1. توعية المستخدم والتدريب
  • تثقيف المستخدمين، وخاصة منشئي المحتوى والمؤثرين، حول أساليب الهندسة الاجتماعية المستخدمة في توزيع البرامج الضارة.
  • شجع الشك تجاه رسائل البريد الإلكتروني غير المرغوب فيها أو الرسائل التي تقدم الرعاية أو فرص تحقيق الدخل أو تنزيلات البرامج.
  • توفير تدريب للتوعية الأمنية حول تحديد روابط التصيد الاحتيالي والمرفقات المشبوهة والنوافذ المنبثقة المضللة.

2. تصفية البريد الإلكتروني والويب

  • قم بتنفيذ حلول تصفية البريد الإلكتروني المتقدمة لاكتشاف وحظر محاولات التصيد التي تحتوي على روابط أو مرفقات ضارة.
  • استخدم تحليل سمعة المجال لمنع الوصول إلى مواقع الويب الضارة المعروفة.
  • قم بتمكين ميزات التصفح الآمن في المتصفحات لتحذير المستخدمين من مواقع الويب الضارة.

3. حماية نقطة النهاية واكتشاف التهديدات

  • قم بنشر الجيل التالي من حلول مكافحة الفيروسات (NGAV) واكتشاف نقاط النهاية والاستجابة لها (EDR) لتحديد عمليات تنفيذ البرامج النصية المشبوهة وحظرها.
  • راقب أنشطة PowerShell غير العادية، خاصة الأوامر المتعلقة بفك تشفير Base64 وتنفيذ الحمولة عن بُعد.
  • قم بتكوين القائمة البيضاء للتطبيق لمنع تنفيذ البرنامج النصي غير المصرح به.

4. عناصر التحكم في أمان الشبكة

  • قم بتنفيذ بروكسيات الويب وقواعد جدار الحماية لتقييد الوصول إلى المجالات المرتبطة بحملات Clickflix.
  • قم بتمكين مراقبة حركة مرور الشبكة لاكتشاف الاتصالات بالبنية الأساسية المعروفة للأوامر والتحكم (C2).
  • استخدم تصفية DNS لحظر الطلبات إلى المواقع الضارة التي تستضيف حمولات البرامج الضارة.

5. الاستجابة للحوادث والبحث عن التهديدات

  • قم بتطوير خطة الاستجابة للحوادث للتعامل مع الإصابات المحتملة التي تسببها الهجمات المستندة إلى Clickflix.
  • قم بإجراء عمليات تدقيق أمنية منتظمة وتحليلات جنائية على الأنظمة المخترقة لاكتشاف البرامج الضارة المخفية.
  • استخدم خدمات استخبارات التهديدات للبقاء على اطلاع دائم بالتكتيكات والتقنيات والإجراءات الجديدة (TTPs) التي يستخدمها المهاجمون.

6. تصلب الرقعة والنظام

  • حافظ على تحديث أنظمة التشغيل والمتصفحات وبرامج الأمان للتخفيف من الثغرات الأمنية التي يستغلها المهاجمون.
  • قم بتعطيل ميزات PowerShell و Windows Script Host (WSH) غير الضرورية إذا لم تكن مطلوبة للعمليات اليومية.
  • قم بتقييد تنفيذ وحدات الماكرو والبرامج النصية غير الموقعة لتقليل مخاطر الهجمات المستندة إلى البرامج النصية.
من خلال اعتماد نهج أمان متعدد الطبقات، يمكن للمؤسسات والأفراد الحد بشكل كبير من خطر الوقوع ضحية لحملة Clickflix للبرامج الضارة.

المراجع

المشاركات ذات الصلة:

كيف تستغل الجهات الفاعلة في مجال التهديد التعاون بين العلامات التجارية لاستهداف قنوات YouTube الشهيرة
Lumma Stealer Chronicles: حملة تحت عنوان PDF باستخدام البنية التحتية للمؤسسات التعليمية المعرضة للخطر

Predict Cyber threats against your organization

Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

ذكاء البرامج الضارة
Table of Content

ملخص تنفيذي

يلقي هذا التقرير الضوء على حملة البرامج الضارة المعقدة التي تهدف إلى منشئو YouTube من خلال التصيد الاحتيالي. يستغل المهاجمون أسماء العلامات التجارية الموثوقة وعروض التعاون المهني لتقديم مرفقات ضارة. من خلال توظيف تقنية كليكفليكس لتوصيل البرامج الضارة، فإنها تزيد من خداعهم. تم تصميم سطور موضوع البريد الإلكتروني والمحتوى بدقة لمحاكاة فرص العمل المشروعة، مثل العروض الترويجية ومقترحات الشراكة والتعاون التسويقي.

أثناء الاستهداف منشئو YouTube ليس تكتيكًا جديدًا، حيث قمنا سابقًا بتغطية حملة مماثلة في هذا أبلغ عن، استخدام تقنية كليكفليكس يمثل تقدمًا جديدًا يتطلب مزيدًا من التحقيق.

تستخدم الجهات الفاعلة في مجال التهديد تقنية كليكفليكس إلى الهدف منشئو YouTube من خلال رسائل البريد الإلكتروني المخادعة المتخفية في صورة مواد ترويجية أو عقود أو مقترحات تجارية. تحتوي رسائل البريد الإلكتروني هذه على مرفقات ضارة، مثل مستندات Word أو ملفات PDF أو ملفات Excel، والتي تعمل بمثابة ناقل العدوى الأولي. يعتمد الهجوم على الهندسة الاجتماعية، وخداع الضحايا لنسخ ولصق نصوص PowerShell التي تنفذ برامج ضارة على أنظمتهم. بمجرد تنشيط البرنامج الضار يسرق بيانات المتصفح، بما في ذلك بيانات اعتماد تسجيل الدخول وملفات تعريف الارتباط والمحافظ، أو يمنح الوصول عن بُعد للمهاجمين. تستغل هذه الحملة على وجه التحديد اهتمام منشئي YouTube بـ صفقات العلامات التجارية والشراكات لزيادة فعاليتها.

خريطة ذهنية لحملة البرامج الضارة

نظرة عامة:

كشف فريق أبحاث التهديدات في CloudSek عن حملة برامج ضارة يقوم فيها ممثلو التهديد بانتحال شخصية العلامات التجارية الشهيرة Pictory وعروض تعاونهم المهني كتمويه لتوزيع البرامج الضارة باستخدام تقنية clickflix. في البريد الإلكتروني أدناه، يقدم ممثل التهديد اقتراحًا للتعاون مع العلامة التجارية من فريق Pictory (منصة إنشاء الفيديو).

تعرض اللقطة بريدًا إلكترونيًا من Threat actor لتسهيل العملية باستخدام نموذج الدفع

بمجرد أن ينقر المستخدم على رابط نموذج الدفع، يتم فتح مستند Google يحتوي على جميع التفاصيل لمزيد من العملية المقدمة.

تعرض اللقطة مستند Google الذي يحتوي على عملية الدفع.

أسفل مستند Google، اطلب فتح «نموذج التحويل البنكي» في ملف Word لعملية دفع سلسة.

مستند Google مضمن رابط ClickFlix في نموذج التحويل البنكي

ومن المثير للاهتمام أن ممثل التهديد قد أنشأ صفحة ويب مزيفة لشركة Microsoft تشبه Microsoft Word. عرضت الصفحة أيضًا رسالة خطأ تفيد بأن «ملحق 'Word Online' غير مثبت»، وعرضت خيارين للمتابعة: «كيفية الإصلاح» و «الإصلاح التلقائي».

موقع ويب مزيف لـ Microsoft Office مع خطأ في التراكب

أدى النقر فوق الزر «كيفية الإصلاح» إلى نسخ أمر PowerShell المشفر باستخدام base64 إلى حافظة الكمبيوتر، وتغيرت الرسالة الموجودة على الصفحة لتوجيه الهدف لفتح محطة PowerShell والنقر بزر الماوس الأيمن على نافذة وحدة التحكم. يؤدي النقر بزر الماوس الأيمن فوق نافذة طرفية إلى لصق محتوى الحافظة وتنفيذ PowerShell.

يتبع الضحية التعليمات الواردة من التراكب وينسخ نص PowerShell بالنقر فوق «كيفية الإصلاح»

التحليل والإسناد:

أثناء التحقق من الكود المصدري لصفحة الويب، يبدو أن البرامج النصية غامضة للغاية ومصممة للتلاعب بسلوك المتصفح، على الأرجح لأغراض ضارة أو خادعة.

تحتوي صفحة الويب الضارة على تعليمات برمجية غامضة

تتضمن صفحة الويب الضارة هذه اكتشافًا يستند إلى وكيل المستخدم ولا يتم تنفيذها إلا عند الوصول إليها من جهاز كمبيوتر شخصي أو كمبيوتر محمول.

تتضمن صفحة الويب الاكتشاف المستند إلى وكيل المستخدم

حقن المحتوى في الحافظة

يحتوي السطر من الحافظة على أمر PowerShell المشفر من Base64 والذي يصل إلى عنوان URL المحدد هناك وينفذ محتوى الصفحة. يوجد داخل هذا المحتوى نص PowerShell غامض يقوم في النهاية بتنزيل الحمولة الضارة.

برنامج بوويرشيل النصي الضار

تفصيل السيناريو وتحليله:

يبدو أن برنامج PowerShell هذا عبارة عن جزء من التعليمات البرمجية الضارة المصممة لجمع ملفات معينة والتفاعل مع الخوادم البعيدة لتنفيذ حمولات ضارة محتملة. في ما يلي تفصيل لما يفعله كل جزء:

تدفق DNS: يمسح ذاكرة التخزين المؤقت لـ DNS لإزالة آثار النشاط الضار السابق.

الثبات الوظيفي المجدول: يقوم البرنامج النصي بإنشاء مهمة مجدولة «fs3s3s8s» يتم تشغيله إلى أجل غير مسمى كل دقيقة، مع الحفاظ على المثابرة.

الوصول إلى البيئة: يؤدي هذا إلى استرداد المسار إلى المجلد «الأخير»، الذي يخزن عادةً الملفات التي تم الوصول إليها مؤخرًا. ثم يبحث عن الملفات ذات الامتداد.normaldaki في هذا المجلد. قد تكون هذه الملفات ملفات ضارة أو أفخاخ تستخدم لمزيد من التنفيذ.

طلبات HTTP: يقوم بجلب المحتوى الضار من الخوادم البعيدة للتنفيذ.

فك تشفير Base64 وتنفيذ التعليمات البرمجية الديناميكية: ينفذ البرامج النصية المشفرة بـ Base64، وهي تقنية تشويش تستخدم في البرامج الضارة.

تحميل التجميع الديناميكي: يقوم البرنامج النصي بتحميل التعليمات البرمجية وتنفيذها ديناميكيًا في الذاكرة، مع تجنب الاكتشاف من خلال عدم الكتابة إلى القرص.

القيادة والتحكم:

تتواصل البرامج الضارة مع خوادم Command and Control (C2) لتصفية البيانات المسروقة. في البداية، يحاول تقديم طلب DNS إلى flowers.what-is-game.xyz

لقطة من البرامج الضارة التي تتصل بـ flowers.what-is-game.xyz

بعد إصابة النظام، يقوم السارق بإنشاء اتصال بخوادم الأوامر والتحكم (C2) لتصفية البيانات المسروقة. وهي تحاول الاتصال بنطاقات خادم C2 باستخدام نطاق المستوى الأعلى «.xyz» (TLD). تستخدم الجهات الفاعلة في مجال التهديد شبكات توصيل المحتوى (CDN) لتوزيع الحمولة وخوادم C2 لتسريب البيانات.

طلب نظام أسماء النطاقات إلى cdn.findfakesnake.xyz وكات-واتشز-Site.xyz 104.78.173.167

لقطة من البرامج الضارة التي تتصل بـ cdn.findfakesnake.xyz وcat-watches-site.xyz

طلب نظام أسماء النطاقات إلى cdn.cart-newlocate.xyz

لقطة من البرامج الضارة التي تتصل بـ cdn.cart-newlocate.xyz

شجرة العمليات:

شجرة العمليات

المتصفح وملفات تعريف الارتباط:

يحاول Lumma stealer سرقة جميع بيانات المتصفح من خلال استهداف بيانات الاعتماد المخزنة وملفات تعريف الارتباط ومعلومات الملء التلقائي وسجل التصفح. يمكنه استخراج كلمات المرور المحفوظة ورموز الجلسة والتفاصيل الحساسة الأخرى من متصفحات الويب، مما يسمح للمهاجمين بالوصول غير المصرح به إلى الحسابات.

لقطة من البرامج الضارة التي تجمع جميع بيانات المتصفح

التطبيقات المستندة إلى Mozilla:

يجمع السارق بيانات المستخدم من مسارات محددة مرتبطة بالعديد من التطبيقات المستندة إلى Mozilla، بما في ذلك Firefox و Thunderbird و Pale Moon، إلى جانب المتصفحات الأقل شهرة مثل K-Meleon و Cyberfox. توجد مسارات البيانات هذه عادةً في مجلد AppData الخاص بالمستخدم ضمن التجوال.

لقطة من البرامج الضارة التي تجمع جميع بيانات التطبيقات المستندة إلى mozilla

المتصفحات المستندة إلى الكروم:

بعد ذلك، يسترد البيانات من مسارات محددة مرتبطة بمختلف المتصفحات المستندة إلى Chromium، مثل Google Chrome و Opera و Brave والبدائل مثل Vivaldi و Yandex. بالإضافة إلى ذلك، فإنه يحدد الأدلة المتعلقة بالألعاب والبرامج الأخرى، ويسلط الضوء على المواقع التي قد يتم تخزين بيانات المستخدم فيها محليًا.

لقطة من البرامج الضارة التي تجمع جميع بيانات التطبيقات المستندة إلى Chromium

ملحقات المحفظة والمصادقة:

ثم تقوم باستخراج البيانات من 280 محفظة للعملات المشفرة إذا كانت موجودة على النظام، وتستهدف تلك المدرجة في قائمة محددة مسبقًا.

لقطة من البرامج الضارة التي تجمع 280 من بيانات محفظة العملات المشفرة

البنية التحتية لممثل تهديد الصيد:

كشف تحقيقنا المتعمق في البنية التحتية لممثل التهديد أن حساب Google Drive المضمن بعنوان Clickflix الضار لمدفوعات مؤلفي YouTube مرتبط بالبريد الإلكتروني «[email protected]». لاحظنا أيضًا أنه تم تحديثه آخر مرة في 18/02/2025.

لقطة تحتوي على تفاصيل منشئ Google Drive

خلال تحقيق OSINT الخاص بنا على «[email protected]،» اكتشفنا مراجعة مثيرة للاهتمام لخرائط Google لموتيل كابري، الواقع في أوكول كاد، جوكشيدير، موتلو سك. 2/أ، 77400 تيرمال/يالوفا، تركيا. تم تأليف المراجعة من قبل شخص يستخدم الاسم أوبري تشابمان. يمكن أن ينتمي هذا الحساب إلى ممثل التهديد أو أن يكون حسابًا مخترقًا.

مراجعة خريطة Google من البريد الإلكتروني [email protected]، اسمها أوبري تشابمان

تكتيكات وتقنيات MITRE ATT&CK:

ATT&CK Tactic Technique & ID Description
Initial Access Spearphishing Link (T1566.002) The threat actor sends a targeted phishing email containing a malicious link. When the recipient clicks the link, they are redirected to a compromised or attacker-controlled website designed to deliver malware.
Execution Windows Management Instrumentation (T1047) Utilizes WMI to access system data within .NET.
Defense Evasion Obfuscated Files or Information (T1027) Uses DPAPI for data encryption, applies BCrypt for cryptographic operations, and encodes data in Base64.
Defense Evasion Deobfuscate/Decode Files or Information (T1140) Decodes Base64-encoded data within .NET.
Discovery System Information Discovery (T1082) Retrieves OS version, checks processor core count, accesses environment variables, and identifies the hostname.
Discovery File and Directory Discovery (T1083) Verifies the existence of files and directories, retrieves common file paths, and enumerates files on Windows.
Discovery Process Discovery (T1057) Lists active processes and identifies specific processes by name.
Discovery Software Discovery (T1518) Gathers details about installed and running software by enumerating processes.
Collection Data from Information Repositories (T1213) Extracts data from WMI repositories through specific queries.
Command and Control C2 Communication (T1071) The threat actor establishes communication with a Command and Control (C2) server to receive instructions, exfiltrate stolen data, or download additional payloads. This communication can take various forms, such as HTTPS, DNS tunneling, or encrypted channels, to evade detection.

مؤشرات التسوية (IOCs):

Hash's 256 Filename
cace23a661e2792804416147df9dcf3ef59ebf56cfaf
9c20d0813aa5f0d95613
archivo.txt
URL Label
Google Drive Link Google Drive
ClickFlix Link ClickFlix webpage
flowers.what-is-game.xyz c2
cat-watches-site.xyz c2
cdn.findfakesnake.xyz c2
cdn.cart-newlocate.xyz c2
https://cat-watches-site.xyz/api/$jeep API call
Email Label
[email protected] Google Drive Owner
[email protected] Spearphishing Email
IPv4
104.21.38.22 104.78.173.167
172.67.199.240

الاستنتاج:

تمثل تقنية Clickflix للهندسة الاجتماعية طريقة خادعة للغاية لتسليم البرامج الضارة. من خلال تضمين البرامج النصية المشفرة باستخدام base64 ضمن مطالبات الخطأ التي تبدو مشروعة، يتلاعب المهاجمون بالمستخدمين لتنفيذ سلسلة من الإجراءات التي تؤدي إلى تشغيل أوامر PowerShell الضارة دون علمهم. عادةً ما تقوم هذه الأوامر بتنزيل وتنفيذ الحمولات، مثل ملفات HTA، من الخوادم البعيدة، مما يؤدي إلى نشر برامج ضارة مثل Lumma Stealer.

بمجرد أن تصبح البرامج الضارة نشطة، فإنها تبدأ العديد من العمليات الضارة، بما في ذلك سرقة البيانات الشخصية للمستخدمين ونقلها إلى خادم الأوامر والتحكم (C2) الخاص بها. غالبًا ما تتضمن سلسلة الهجوم آليات التخفي والمثابرة، مثل مسح محتويات الحافظة وتشغيل العمليات في الخلفية لتجنب الاكتشاف. من خلال إخفاء البرامج النصية الضارة في صورة تنبيهات النظام أو رسائل استكشاف الأخطاء وإصلاحها، يخدع المهاجمون المستخدمين بشكل فعال لتسهيل تنفيذ البرامج الضارة، مما يؤدي إلى اختراق النظام.

توصيات للتخفيف من حملة Clickflix للبرامج الضارة

للحماية من حملة Clickflix للبرامج الضارة، يجب على المؤسسات والأفراد تنفيذ الإجراءات الأمنية التالية:
1. توعية المستخدم والتدريب
  • تثقيف المستخدمين، وخاصة منشئي المحتوى والمؤثرين، حول أساليب الهندسة الاجتماعية المستخدمة في توزيع البرامج الضارة.
  • شجع الشك تجاه رسائل البريد الإلكتروني غير المرغوب فيها أو الرسائل التي تقدم الرعاية أو فرص تحقيق الدخل أو تنزيلات البرامج.
  • توفير تدريب للتوعية الأمنية حول تحديد روابط التصيد الاحتيالي والمرفقات المشبوهة والنوافذ المنبثقة المضللة.

2. تصفية البريد الإلكتروني والويب

  • قم بتنفيذ حلول تصفية البريد الإلكتروني المتقدمة لاكتشاف وحظر محاولات التصيد التي تحتوي على روابط أو مرفقات ضارة.
  • استخدم تحليل سمعة المجال لمنع الوصول إلى مواقع الويب الضارة المعروفة.
  • قم بتمكين ميزات التصفح الآمن في المتصفحات لتحذير المستخدمين من مواقع الويب الضارة.

3. حماية نقطة النهاية واكتشاف التهديدات

  • قم بنشر الجيل التالي من حلول مكافحة الفيروسات (NGAV) واكتشاف نقاط النهاية والاستجابة لها (EDR) لتحديد عمليات تنفيذ البرامج النصية المشبوهة وحظرها.
  • راقب أنشطة PowerShell غير العادية، خاصة الأوامر المتعلقة بفك تشفير Base64 وتنفيذ الحمولة عن بُعد.
  • قم بتكوين القائمة البيضاء للتطبيق لمنع تنفيذ البرنامج النصي غير المصرح به.

4. عناصر التحكم في أمان الشبكة

  • قم بتنفيذ بروكسيات الويب وقواعد جدار الحماية لتقييد الوصول إلى المجالات المرتبطة بحملات Clickflix.
  • قم بتمكين مراقبة حركة مرور الشبكة لاكتشاف الاتصالات بالبنية الأساسية المعروفة للأوامر والتحكم (C2).
  • استخدم تصفية DNS لحظر الطلبات إلى المواقع الضارة التي تستضيف حمولات البرامج الضارة.

5. الاستجابة للحوادث والبحث عن التهديدات

  • قم بتطوير خطة الاستجابة للحوادث للتعامل مع الإصابات المحتملة التي تسببها الهجمات المستندة إلى Clickflix.
  • قم بإجراء عمليات تدقيق أمنية منتظمة وتحليلات جنائية على الأنظمة المخترقة لاكتشاف البرامج الضارة المخفية.
  • استخدم خدمات استخبارات التهديدات للبقاء على اطلاع دائم بالتكتيكات والتقنيات والإجراءات الجديدة (TTPs) التي يستخدمها المهاجمون.

6. تصلب الرقعة والنظام

  • حافظ على تحديث أنظمة التشغيل والمتصفحات وبرامج الأمان للتخفيف من الثغرات الأمنية التي يستغلها المهاجمون.
  • قم بتعطيل ميزات PowerShell و Windows Script Host (WSH) غير الضرورية إذا لم تكن مطلوبة للعمليات اليومية.
  • قم بتقييد تنفيذ وحدات الماكرو والبرامج النصية غير الموقعة لتقليل مخاطر الهجمات المستندة إلى البرامج النصية.
من خلال اعتماد نهج أمان متعدد الطبقات، يمكن للمؤسسات والأفراد الحد بشكل كبير من خطر الوقوع ضحية لحملة Clickflix للبرامج الضارة.

المراجع

المشاركات ذات الصلة:

كيف تستغل الجهات الفاعلة في مجال التهديد التعاون بين العلامات التجارية لاستهداف قنوات YouTube الشهيرة
Lumma Stealer Chronicles: حملة تحت عنوان PDF باستخدام البنية التحتية للمؤسسات التعليمية المعرضة للخطر

مايانك ساهاريا

Related Blogs