شهدت هجمات ClickFix، المعتمدة على الهندسة الاجتماعية، ارتفاعاً حاداً بنسبة بلغت 517% خلال الأشهر الستة الماضية، لتصبح ثاني أكثر أساليب الهجوم شيوعاً بعد التصيّد الإلكتروني، وفقاً لبيانات جديدة نشرتها شركة ESET المتخصصة في أمن المعلومات.
وأوضح التقرير، الصادر في 26 يونيو الجاري، أن هذه التقنية شكلت ما يقرب من 8% من إجمالي الهجمات التي تم التصدي لها في النصف الأول من عام 2025.
وتُعد تقنية ClickFix نوعاً من الهندسة الاجتماعية، حيث يُخدع الضحية عبر رسائل خطأ أو تحقق مزيفة، تدفعه لنسخ شفرة برمجية ضارة ولصقها وتشغيلها بنفسه، اعتقاداً منه بأنه يُصلح مشكلة تقنية في جهازه.
ويستغل هذا الأسلوب رغبة المستخدمين في معالجة الأعطال بأنفسهم، دون اللجوء إلى فرق الدعم التقني، ما يجعل التقنية فعالة في تجاوز أنظمة الحماية، حيث يُصاب الجهاز ببرمجيات ضارة نتيجة تصرف المستخدم ذاته.
يُشار إلى أن هجمات ClickFix رُصدت لأول مرة في مارس 2024 من قبل شركة Proofpoint، لكنها شهدت انتشاراً واسعاً بحلول نهاية ذلك العام.
وأظهر التقرير أن هذا الأسلوب يستهدف جميع أنظمة التشغيل الرئيسية، بما في ذلك Windows وLinux وmacOS.
وأشار الباحثون إلى أن فعالية هذا الأسلوب دفعت مجرمي الإنترنت إلى بيع أدوات تتيح للآخرين إنشاء صفحات هبوط ضارة جاهزة لاستخدام هجمات ClickFix.
ومع ازدياد أعداد النسخ المعدلة من هذه الهجمات، توسعت قائمة التهديدات التي يتم توصيلها باستخدام هذا الأسلوب، وشملت:
- برمجيات سرقة المعلومات (Infostealers)
- برامج الفدية (Ransomware)
- برمجيات التحكم عن بُعد (Remote Access Trojans)
- برمجيات التعدين الخفي للعملات الرقمية (Cryptominers)
- أدوات ما بعد الاستغلال (Post-Exploitation Tools)
- برمجيات خبيثة متطورة مرتبطة بجهات تهديد مدعومة من دول
وفي هذا السياق، صرّح جيرجي كراباش، مدير مختبرات الوقاية من التهديدات في ESET، قائلاً:
“قائمة التهديدات التي تقف وراء هجمات ClickFix تتوسع يوماً بعد يوم، وهو ما يعزز خطورتها ويُصعّب مكافحتها”.
وفي تقرير منفصل صدر هذا الشهر عن شركة ReliaQuest، تبيّن أن هجمات ClickFix كانت عنصراً رئيسياً في ارتفاع حوادث الاستغلال الفوري للمواقع الإلكترونية بنسبة 10% خلال الفترة من مارس إلى مايو 2025.
تغيرات بارزة في مشهد برمجيات سرقة المعلومات
كما أبرز تقرير ESET تغيّرات ملحوظة في مشهد برمجيات سرقة المعلومات خلال النصف الأول من 2025، خصوصاً مع بروز برمجية SnakeStealer.
وتصدّرت SnakeStealer قائمة البرمجيات الخبيثة الأكثر رصداً خلال الفترة المذكورة، حيث شكلت خمس إجمالي حالات الإصابة وفقاً لبيانات ESET.
يُذكر أن هذه البرمجية قيد الاستخدام منذ عام 2019، وتتميز بقدرات متعددة تشمل:
- تسجيل ضغطات لوحة المفاتيح
- سرقة بيانات الاعتماد المحفوظة
- التقاط لقطات شاشة
- جمع بيانات الحافظة (Clipboard Data)
وارتفعت نسبة نشاط SnakeStealer تزامناً مع تراجع ملحوظ في استخدام برمجية Agent Tesla بنسبة 57% مقارنة بالنصف الثاني من 2024.
وأرجع الباحثون هذا التراجع إلى فقدان مشغلي Agent Tesla إمكانية الوصول إلى الخوادم التي تحتوي على الشفرة المصدرية للبرمجية، موضحين أنها “لم تختفِ تماماً، لكنها لم تعد تشهد تطويراً لنسخ جديدة”.
وشهد شهر مايو الماضي عمليتين أمنيتين كبيرتين استهدفتا البنية التحتية لبرمجيات سرقة المعلومات، يُتوقع أن تؤثر بشكل ملموس على مشهد التهديدات مستقبلاً.
وشملت هذه العمليات تعطيل بنية Lumma Stealer، ما أسفر عن مصادرة 2300 نطاق إلكتروني، بالإضافة إلى عملية أمنية أمريكية بالتعاون مع عملية Endgame، استهدفت جزءاً كبيراً من بنية Danabot.
وبحسب البيانات، شهدت برمجية Lumma Stealer نشاطاً أعلى بنسبة 21% في النصف الأول من 2025 مقارنة بالنصف الثاني من 2024، بينما ارتفعت نسبة نشاط Danabot بنسبة 52% خلال نفس الفترة.
