ما بارها با صفحه آبیرنگ و معروف «بهروزرسانی ویندوز» روبهرو شدهایم؛ همان دایره چرخانی که گاهی وسط کار ظاهر میشود و کلافهمان میکند. حالا همین صحنهی آشنا تبدیل شده به طعمهای تازه تا با دستان خودمان درِ سیستم را به روی هکرها باز کنیم. ماجرا مربوط به موج جدید حملات سایبری با نام «کلیکفیکس» (ClickFix) است که با سوءاستفاده از اعتماد کاربر، بدافزار نصب میکند.
وقتی «خود شما» ویروس را اجرا میکنید، نه هکر!
ساز و کار این حمله، یک «مهندسی اجتماعی» تمامعیار است که به شکلی مرحله به مرحله پیش میرود:
- ابتدا وارد یک صفحه وب میشوید و ناگهان تصویری تمامصفحه و آبیرنگ میبینید که با «صفحه آپدیت ویندوز» مو نمیزند.
- همانطور که در تصویر جعلی میبینید، پیامی شبیه به یک خطا ظاهر میشود و از شما میخواهد برای ادامه فرآیند، دکمههای ویندوز و R را بزنید. اگر این کلیدها را فشار دهید، پنجره Run ویندوز باز میشود.
- سپس از شما خواسته میشود کدی که بیسروصدا در حافظه موقت سیستم کپی شده را در پنجره Run جایگذاری یا پیست کنید.
- اینتر را که بزنید کار تمام است؛ کد بدافزار با دست خودتان به اجرا درمیآید.
در مجموع داستان مثل این است که دزد بهجای شکستن قفل، کلید را دست صاحبخانه بدهد و بگوید: «زحمت بکش خودت در را باز کن!»
پنهانکاری در دل رنگها
بخش فنی و ترسناک ماجرا جایی است که پای تکنیک «استگانوگرافی» (Steganography) به میان میآید. در این روش، کدهای مخرب لابهلای پیکسلهای تصاویر پنهان میشوند. شما فقط یک عکس به ظاهر معمولی میبینید، اما سیستم، کدهای مخرب را از دل رنگها بیرون میکشد و اجرا میکند.
وقتی دستور مورد نظر در Run اجرا میشود، ابتدا فایلی به نام mshta.exe بالا میآید و بدافزارهای بدنام و مشهوری مثل LummaC2 یا Rhadamanthys را مستقیم داخل explorer.exe تزریق میکند. جالب اینکه همه کارها با ابزارهای خود سیستم عامل انجام میشوند، در نتیجه آنتیویروس ویندوز هم لزوما چیز مشکوکی نمیبیند.
چطور از خودمان محافظت کنیم؟
- مهمترین خط دفاعی شما «آگاهی» است (دنبال کردن نوشدارو فراموش نشود!). بهروزرسانی ویندوز هرگز از شما نمیخواهد متنی را در پنجرهی Run کپی و اجرا کنید. اگر صفحهای با چنین درخواستی دیدید، فوراً آن را ببندید.
- در محیطهای اداری میتوان دسترسی به پنجرهی Run را برای کاربران عادی غیرفعال کرد تا سطح ریسک پایین بیاید.
این مطالب را هم در «نوشدارو» بخوانید:
