کمیته رکن چهارم – یافتههای تازه شرکت امنیتی ReliaQuest نشان میدهد که گروه سایبری Storm-0249 تاکتیک جدیدی را با نام ClickFix به کار گرفته که در آن مهاجمان کاربران را با فریب حل مشکلات فنی وادار به اجرای دستورهای مخرب در پنجره Run ویندوز میکنند.
به گزارش کمیته رکن چهارم، در این روش کاربران با یک پیام مهندسی اجتماعی مواجه میشوند که آنها را تشویق به وارد کردن دستوری در Run میکند. این دستور با استفاده از ابزار قانونی curl.exe، یک اسکریپت PowerShell را از دامنهای مشابه وبسایت مایکروسافت دریافت و بدون ذخیره فایل، اجرا میکند. در ادامه، اسکریپت منجر به نصب یک فایل MSI مخرب و بارگذاری یک DLL آلوده میشود که با نام SentinelOne در سیستم قربانی پنهان شده است.
Storm-0249 که پیشتر توسط مایکروسافت به عنوان واسطه دسترسی معرفی شده بود، اکنون علاوه بر ترفندهای کلاسیک فیشینگ، از روشهای پیشرفتهتری چون بارگذاری جانبی DLL، جعل دامنه و استفاده از ابزارهای قانونی سیستم مانند reg.exe و findstr.exe برای جمعآوری اطلاعات سیستم قربانی بهره میبرد.
در حملات اخیر، این گروه با قرار دادن DLL آلوده در کنار فایل اجرایی قانونی SentinelAgentWorker.exe موفق به پنهان کردن فعالیت خود شده و ارتباط رمزگذاریشدهای با سرور فرمان و کنترل برقرار کرده است.
گزارشها نشان میدهد Storm-0249 با گروههای باجافزاری مانند LockBit و ALPHV همکاری دارد و با استخراج شناسههای سیستمی مانند MachineGuid، کلیدهای رمزگذاری را مستقیماً به دستگاه قربانی متصل میکند؛ موضوعی که بازیابی اطلاعات بدون کلید اصلی را تقریباً غیرممکن میسازد.
این حملات نشاندهنده تغییر جهت مهاجمان از روشهای گسترده به حملات هدفمند و دقیق است، که با تکیه بر اعتماد به ابزارهای قانونی، مسیر شناسایی آنها برای تیمهای امنیتی پیچیدهتر شده است.
