کمیته رکن چهارم – پژوهشگران از شناسایی یک کارزار جدید ClickFix خبر دادهاند که با CAPTCHA جعلی، کاربران را وادار میکند یک فرمان را در Run ویندوز اجرا کنند؛ نتیجه این کار، دانلود و اجرای بدافزار سرقت اطلاعات Amatera Stealer است.
به گزارش کمیته رکن چهارم، نکته متفاوت این حمله این است که مهاجم بهجای اجرای مستقیم PowerShell، از اسکریپت امضاشده ویندوز SyncAppvPublishingServer.vbs (مربوط به Microsoft App-V) استفاده میکند تا اجرای کد را از مسیرهای کمحساسیتتر جلو ببرد و شناسایی را سختتر کند. App-V معمولاً فقط روی نسخههای Enterprise / Education ویندوز وجود دارد؛ به همین دلیل هدف اصلی حمله، سیستمهای سازمانی است.
در ادامه، یک Loader در حافظه اجرا میشود که برای فرار از تحلیل، محیطهای sandbox را بررسی میکند و حتی پیکربندی را از سرویسهای معتبر مثل Google Calendar میگیرد. سپس مراحل بعدی از طریق منابع آنلاین دریافت میشود و payload نهایی در قالب فایلهای تصویری (مثل PNG) پنهان شده و در نهایت Amatera Stealer فعال میشود.
کارشناسان میگویند قدرت این کارزار در «یک ترفند خاص» نیست، بلکه در زنجیرهسازی دقیق چند مرحله است؛ طوری که اگر کاربر دقیقاً همان کار خواستهشده را انجام ندهد، اجرا کامل نمیشود و همین موضوع دفاع و تحلیل را سختتر میکند.
