🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
في تطور جديد مخيف لتهديد قديم، يستهدف مجرمو الإنترنت مرة أخرى منشئي YouTube - هذه المرة باستخدام تقنية ذكية خبيثة يطلق عليها اسم Clickflix. يتنكر المهاجمون في صورة تعاون شرعي للعلامة التجارية، ويجذبون منشئي المحتوى إلى تنفيذ نصوص PowerShell الضارة التي تسرق بصمت بيانات اعتماد المتصفح وبيانات محفظة التشفير والمزيد. يتعمق تحقيق CloudSek الأخير في هذه الحملة سريعة التطور، ويكشف كيف يقوم المهاجمون بتسليح بوابات Microsoft المزيفة، والتلاعب بإجراءات الحافظة، والحفاظ على الثبات الخفي. إذا كنت منشئًا أو محترفًا في مجال الأمان أو ترغب ببساطة في معرفة أحدث ابتكارات البرامج الضارة - يجب قراءة هذا التقرير.
يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.
Schedule a Demoيلقي هذا التقرير الضوء على حملة البرامج الضارة المعقدة التي تهدف إلى منشئو YouTube من خلال التصيد الاحتيالي. يستغل المهاجمون أسماء العلامات التجارية الموثوقة وعروض التعاون المهني لتقديم مرفقات ضارة. من خلال توظيف تقنية كليكفليكس لتوصيل البرامج الضارة، فإنها تزيد من خداعهم. تم تصميم سطور موضوع البريد الإلكتروني والمحتوى بدقة لمحاكاة فرص العمل المشروعة، مثل العروض الترويجية ومقترحات الشراكة والتعاون التسويقي.
أثناء الاستهداف منشئو YouTube ليس تكتيكًا جديدًا، حيث قمنا سابقًا بتغطية حملة مماثلة في هذا أبلغ عن، استخدام تقنية كليكفليكس يمثل تقدمًا جديدًا يتطلب مزيدًا من التحقيق.
تستخدم الجهات الفاعلة في مجال التهديد تقنية كليكفليكس إلى الهدف منشئو YouTube من خلال رسائل البريد الإلكتروني المخادعة المتخفية في صورة مواد ترويجية أو عقود أو مقترحات تجارية. تحتوي رسائل البريد الإلكتروني هذه على مرفقات ضارة، مثل مستندات Word أو ملفات PDF أو ملفات Excel، والتي تعمل بمثابة ناقل العدوى الأولي. يعتمد الهجوم على الهندسة الاجتماعية، وخداع الضحايا لنسخ ولصق نصوص PowerShell التي تنفذ برامج ضارة على أنظمتهم. بمجرد تنشيط البرنامج الضار يسرق بيانات المتصفح، بما في ذلك بيانات اعتماد تسجيل الدخول وملفات تعريف الارتباط والمحافظ، أو يمنح الوصول عن بُعد للمهاجمين. تستغل هذه الحملة على وجه التحديد اهتمام منشئي YouTube بـ صفقات العلامات التجارية والشراكات لزيادة فعاليتها.
كشف فريق أبحاث التهديدات في CloudSek عن حملة برامج ضارة يقوم فيها ممثلو التهديد بانتحال شخصية العلامات التجارية الشهيرة Pictory وعروض تعاونهم المهني كتمويه لتوزيع البرامج الضارة باستخدام تقنية clickflix. في البريد الإلكتروني أدناه، يقدم ممثل التهديد اقتراحًا للتعاون مع العلامة التجارية من فريق Pictory (منصة إنشاء الفيديو).
بمجرد أن ينقر المستخدم على رابط نموذج الدفع، يتم فتح مستند Google يحتوي على جميع التفاصيل لمزيد من العملية المقدمة.
أسفل مستند Google، اطلب فتح «نموذج التحويل البنكي» في ملف Word لعملية دفع سلسة.
ومن المثير للاهتمام أن ممثل التهديد قد أنشأ صفحة ويب مزيفة لشركة Microsoft تشبه Microsoft Word. عرضت الصفحة أيضًا رسالة خطأ تفيد بأن «ملحق 'Word Online' غير مثبت»، وعرضت خيارين للمتابعة: «كيفية الإصلاح» و «الإصلاح التلقائي».
أدى النقر فوق الزر «كيفية الإصلاح» إلى نسخ أمر PowerShell المشفر باستخدام base64 إلى حافظة الكمبيوتر، وتغيرت الرسالة الموجودة على الصفحة لتوجيه الهدف لفتح محطة PowerShell والنقر بزر الماوس الأيمن على نافذة وحدة التحكم. يؤدي النقر بزر الماوس الأيمن فوق نافذة طرفية إلى لصق محتوى الحافظة وتنفيذ PowerShell.
أثناء التحقق من الكود المصدري لصفحة الويب، يبدو أن البرامج النصية غامضة للغاية ومصممة للتلاعب بسلوك المتصفح، على الأرجح لأغراض ضارة أو خادعة.
تتضمن صفحة الويب الضارة هذه اكتشافًا يستند إلى وكيل المستخدم ولا يتم تنفيذها إلا عند الوصول إليها من جهاز كمبيوتر شخصي أو كمبيوتر محمول.
حقن المحتوى في الحافظة
يحتوي السطر من الحافظة على أمر PowerShell المشفر من Base64 والذي يصل إلى عنوان URL المحدد هناك وينفذ محتوى الصفحة. يوجد داخل هذا المحتوى نص PowerShell غامض يقوم في النهاية بتنزيل الحمولة الضارة.
تفصيل السيناريو وتحليله:
يبدو أن برنامج PowerShell هذا عبارة عن جزء من التعليمات البرمجية الضارة المصممة لجمع ملفات معينة والتفاعل مع الخوادم البعيدة لتنفيذ حمولات ضارة محتملة. في ما يلي تفصيل لما يفعله كل جزء:
تدفق DNS: يمسح ذاكرة التخزين المؤقت لـ DNS لإزالة آثار النشاط الضار السابق.
الثبات الوظيفي المجدول: يقوم البرنامج النصي بإنشاء مهمة مجدولة «fs3s3s8s» يتم تشغيله إلى أجل غير مسمى كل دقيقة، مع الحفاظ على المثابرة.
الوصول إلى البيئة: يؤدي هذا إلى استرداد المسار إلى المجلد «الأخير»، الذي يخزن عادةً الملفات التي تم الوصول إليها مؤخرًا. ثم يبحث عن الملفات ذات الامتداد.normaldaki في هذا المجلد. قد تكون هذه الملفات ملفات ضارة أو أفخاخ تستخدم لمزيد من التنفيذ.
طلبات HTTP: يقوم بجلب المحتوى الضار من الخوادم البعيدة للتنفيذ.
فك تشفير Base64 وتنفيذ التعليمات البرمجية الديناميكية: ينفذ البرامج النصية المشفرة بـ Base64، وهي تقنية تشويش تستخدم في البرامج الضارة.
تحميل التجميع الديناميكي: يقوم البرنامج النصي بتحميل التعليمات البرمجية وتنفيذها ديناميكيًا في الذاكرة، مع تجنب الاكتشاف من خلال عدم الكتابة إلى القرص.
تتواصل البرامج الضارة مع خوادم Command and Control (C2) لتصفية البيانات المسروقة. في البداية، يحاول تقديم طلب DNS إلى flowers.what-is-game.xyz
بعد إصابة النظام، يقوم السارق بإنشاء اتصال بخوادم الأوامر والتحكم (C2) لتصفية البيانات المسروقة. وهي تحاول الاتصال بنطاقات خادم C2 باستخدام نطاق المستوى الأعلى «.xyz» (TLD). تستخدم الجهات الفاعلة في مجال التهديد شبكات توصيل المحتوى (CDN) لتوزيع الحمولة وخوادم C2 لتسريب البيانات.
طلب نظام أسماء النطاقات إلى cdn.findfakesnake.xyz وكات-واتشز-Site.xyz 104.78.173.167
طلب نظام أسماء النطاقات إلى cdn.cart-newlocate.xyz
شجرة العمليات:
يحاول Lumma stealer سرقة جميع بيانات المتصفح من خلال استهداف بيانات الاعتماد المخزنة وملفات تعريف الارتباط ومعلومات الملء التلقائي وسجل التصفح. يمكنه استخراج كلمات المرور المحفوظة ورموز الجلسة والتفاصيل الحساسة الأخرى من متصفحات الويب، مما يسمح للمهاجمين بالوصول غير المصرح به إلى الحسابات.
يجمع السارق بيانات المستخدم من مسارات محددة مرتبطة بالعديد من التطبيقات المستندة إلى Mozilla، بما في ذلك Firefox و Thunderbird و Pale Moon، إلى جانب المتصفحات الأقل شهرة مثل K-Meleon و Cyberfox. توجد مسارات البيانات هذه عادةً في مجلد AppData الخاص بالمستخدم ضمن التجوال.
بعد ذلك، يسترد البيانات من مسارات محددة مرتبطة بمختلف المتصفحات المستندة إلى Chromium، مثل Google Chrome و Opera و Brave والبدائل مثل Vivaldi و Yandex. بالإضافة إلى ذلك، فإنه يحدد الأدلة المتعلقة بالألعاب والبرامج الأخرى، ويسلط الضوء على المواقع التي قد يتم تخزين بيانات المستخدم فيها محليًا.
ثم تقوم باستخراج البيانات من 280 محفظة للعملات المشفرة إذا كانت موجودة على النظام، وتستهدف تلك المدرجة في قائمة محددة مسبقًا.
كشف تحقيقنا المتعمق في البنية التحتية لممثل التهديد أن حساب Google Drive المضمن بعنوان Clickflix الضار لمدفوعات مؤلفي YouTube مرتبط بالبريد الإلكتروني «[email protected]». لاحظنا أيضًا أنه تم تحديثه آخر مرة في 18/02/2025.
خلال تحقيق OSINT الخاص بنا على «[email protected]،» اكتشفنا مراجعة مثيرة للاهتمام لخرائط Google لموتيل كابري، الواقع في أوكول كاد، جوكشيدير، موتلو سك. 2/أ، 77400 تيرمال/يالوفا، تركيا. تم تأليف المراجعة من قبل شخص يستخدم الاسم أوبري تشابمان. يمكن أن ينتمي هذا الحساب إلى ممثل التهديد أو أن يكون حسابًا مخترقًا.
تمثل تقنية Clickflix للهندسة الاجتماعية طريقة خادعة للغاية لتسليم البرامج الضارة. من خلال تضمين البرامج النصية المشفرة باستخدام base64 ضمن مطالبات الخطأ التي تبدو مشروعة، يتلاعب المهاجمون بالمستخدمين لتنفيذ سلسلة من الإجراءات التي تؤدي إلى تشغيل أوامر PowerShell الضارة دون علمهم. عادةً ما تقوم هذه الأوامر بتنزيل وتنفيذ الحمولات، مثل ملفات HTA، من الخوادم البعيدة، مما يؤدي إلى نشر برامج ضارة مثل Lumma Stealer.
بمجرد أن تصبح البرامج الضارة نشطة، فإنها تبدأ العديد من العمليات الضارة، بما في ذلك سرقة البيانات الشخصية للمستخدمين ونقلها إلى خادم الأوامر والتحكم (C2) الخاص بها. غالبًا ما تتضمن سلسلة الهجوم آليات التخفي والمثابرة، مثل مسح محتويات الحافظة وتشغيل العمليات في الخلفية لتجنب الاكتشاف. من خلال إخفاء البرامج النصية الضارة في صورة تنبيهات النظام أو رسائل استكشاف الأخطاء وإصلاحها، يخدع المهاجمون المستخدمين بشكل فعال لتسهيل تنفيذ البرامج الضارة، مما يؤدي إلى اختراق النظام.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.