تقوم حملة ClickFix الجديدة بإغراء المستخدمين بصفحات مؤتمرات غوغل Meet الاحتيالية، التي تعرض أخطاء اتصال مزيفة تقدم برامج ضارة لسرقة المعلومات لأنظمة التشغيل ويندوز وiOS.

وClickFix هو تكتيك هندسة اجتماعية ظهر في أيار الماضي، استخدم رسائل تنتحل أخطاء غوغل كروم ومايكروسوفت Word وOneDrive.

برامج ضارة

ودفعت الأخطاء التي تظهر على الشاشة الضحية إلى نسخ جزء من كود PowerShell إلى الحافظة لإصلاح المشكلات عن طريق تشغيله في موجه الأوامر في .

وبالتالي، فإن الضحايا قد يصيبون الأنظمة الخاصة بهم ببرامج ضارة مختلفة مثل DarkGate وMatanbuchus وNetSupport  وAmadey Loader  وXMRig وLumma Stealer.

وفي الآونة الأخيرة تطورت حملات ClickFix بشكل كبير، وتستخدم الآن إغراء غوغل Meet ورسائل البريد الإلكتروني الاحتيالية التي تستهدف شركات النقل والخدمات اللوجستية وصفحات فيسبوك المزيفة وقضايا GitHub الخادعة.

كذلك، بينت بعض الحملات الأحدث من ClickFix تُجرى من قبل فرق فرعية لعصابات الاحتيال على العملات المشفرة.

مهاجمة الضحايا

وتستخدم الجهات الفاعلة المهددة صفحات مزيفة لـ ، وهو جزء من خدمة الاتصال بالفيديو من مجموعة غوغل Workspace الشائعة في البيئات المؤسسية للاجتماعات الافتراضية والندوات عبر الإنترنت.

ولمهاجمة الضحايا، يرسل المهاجم إليهم رسائل بريد إلكتروني تبدو كأنها دعوات مشروعة لـ Google Meet تتعلق باجتماع عمل أو مؤتمر أو أي حدث مهم آخر. 

وتشبه روابط هذه الدعوات إلى حد كبير عناوين URL في غوغل Meet  الحقيقية.

وبمجرد وصول الضحايا إلى الصفحة المزيفة، يتلقون رسالة منبثقة تخبرهم بوجود مشكلة فنية، مثل مشكلة في الميكروفون أو سماعة الرأس. 

وإذا نقروا على Try Fix في الرسالة، تبدأ عملية إصابة ClickFix القياسية، إذ يصيب كود PowerShell الذي نُسِخ بوساطة موقع الويب وأُلصِق على موجه ويندوز جهاز الكمبيوتر بالبرامج الضارة، والنتيجة النهائية هي برامج ضارة لسرقة المعلومات من ويندوز وiOS.

يذكر أن شركات الأمن السيبراني حددت كثيرًا من مجموعات توزيع البرامج الضارة الأخرى، بالإضافة إلى غوغل Meet، بما في ذلك Zoom وقارئات PDF وألعاب الفيديو المزيفة وتطبيق المراسلة Nortex.