Skip links
تماس باما
راه امن
Published in: مقالات

بدافزار ClickFix کاربران تیک تاک را هدف گرفت

Author
Published on:

مجرمان سایبری با انتشار ویدئوهای آموزشی‌نما در تیک‌تاک کاربران را فریب می‌دهند و آن‌ها را به اجرای دستوراتی در PowerShell ترغیب می‌کنند؛ اقداماتی که در واقع منجر به نصب بدافزار ClickFix و سرقت اطلاعات حساس می‌شود.

به گزارش افتانا، مجرمان سایبری با انتشار ویدئوهایی در تیک‌تاک که وانمود می‌کنند راهنمای فعال‌سازی رایگان نرم‌افزارهایی مانند ویندوز، اسپاتیفای و نتفلیکس هستند، در واقع کاربران را فریب داده و آن‌ها را به نصب بدافزارهای سرقت اطلاعات (Infostealer) ترغیب می‌کنند.

به گفته خاویر مرتنس (Xavier Mertens) ، پژوهشگر امنیتی تیم ISC، این کارزار مشابه حمله‌ای است که شرکت Trend Micro در ماه می گذشته شناسایی کرده بود. ویدئوهای منتشرشده در این کارزار ادعا می‌کنند روش فعال‌سازی نرم‌افزارهای محبوبی مانند Windows، Microsoft 365، Adobe Premiere، Photoshop،  CapCut Pro و Discord Nitro را آموزش می‌دهند. برخی از آن‌ها حتی سرویس‌های جعلی مانند Netflix Premium یا Spotify Premium را هدف گرفته‌اند.

این ویدئوها بخشی از حملات معروف به ClickFix  هستند؛ ترفندی مهندسی اجتماعی که به کاربران دستور می‌دهد یک کد ظاهراً بی‌ضرر را در محیط PowerShell اجرا کنند. با اجرای این کد، سیستم قربانی به سایتی مخرب متصل شده و اسکریپت‌هایی را دریافت می‌کند که منجر به آلودگی دستگاه می‌شود.

در این حمله، کد PowerShell از دامنه‌ای جعلی، اسکریپت دیگری را دانلود کرده که دو فایل اجرایی در قالب به‌روزرسانی دریافت می‌کند. بررسی‌ها نشان داده فایل اول نسخه‌ای از بدافزار Aura Stealer  است؛ برنامه‌ای که اطلاعات ذخیره‌شده مرورگرها، کوکی‌های ورود، کیف‌پول‌های رمزارزی و سایر داده‌های حساس را جمع‌آوری و برای مهاجمان ارسال می‌کند.

مرتنس اعلام کرده است که فایل دوم با نام  source.exe نیز به‌صورت خودکار کدهایی را با استفاده از ابزار داخلی .NET کامپایل و در حافظه اجرا می‌کند، هرچند هدف دقیق این مرحله هنوز مشخص نشده است.

کارشناسان هشدار می‌دهند کاربرانی که چنین دستوراتی را اجرا کرده‌اند باید فرض کنند تمام رمزهای عبور و حساب‌های کاربری‌شان در خطر است و فوراً گذرواژه‌های خود را تغییر دهند.

به گفته‌ محققان، حملات ClickFix طی سال گذشته به یکی از روش‌های پرکاربرد برای پخش بدافزارهای سرقت اطلاعات، باج‌افزار و ابزارهای سرقت رمزارز تبدیل شده است.

کارشناسان امنیتی تأکید می‌کنند کاربران هرگز نباید هیچ متنی را از سایت‌ها یا شبکه‌های اجتماعی کپی کرده و در محیط‌هایی مانند PowerShell، خط فرمان ویندوز یا ترمینال macOS و لینوکس اجرا کنند، حتی اگر ویدئو ظاهراً آموزشی به نظر برسد.

خبرهای مرتبط