تصور کنید در یک وبسایت رسمی هستید و برای اثبات انسانیت، تنها باید یک متن کوتاه را کپی و در ترمینال خود جایگذاری کنید؛ این لحظه دقیقاً همان جایی است که کنترل سیستم شما را از دست میدهید. طبق گزارش مرکز پاسخ به حوادث رایانهای (CERT) اوکراین در ۱۶ ژوئیه ۲۰۲۶، واحد نظامی سندورم (Sandworm) روسیه اکنون از متد «کلیکفیکس» (Clickfix) برای نفوذ به سازمانهای حساس استفاده میکند.
این حمله از روانشناسی انسان بهره میبرد و یک کپچای (CAPTCHA) جعلی را نمایش میدهد. در این روش، بهجای حل یک پازل، از کاربر خواسته میشود متنی را کپی کرده و در محیط ترمینال اجرا کند تا هویت انسانیاش تأیید شود. این اقدام در واقع اجرای یک اسکریپت (Script) مخرب است که مستقیماً لایههای امنیتی مرورگر را دور میزند — شبیه کلیدی که بهجای باز کردن قفل در، مستقیماً از دیوار عبور میکند.
همانطور که در تحلیلهای پیشین ما دربارهی حملات APT و مهندسی اجتماعی اشاره کردیم، مهاجمان همواره به دنبال نقاط ضعف انسانی هستند. این رویکرد در کنار استفاده از زیرساختهای توزیعشده، مانند بهرهبرداری از روترهای خانگی برای ایجاد پلهای ارتباطی، نفوذ به شبکههای حساس را برای روسیه تسهیل کرده است. مقامات اوکراینی ۱۰ وبسایت آلوده را شناسایی کردهاند که این زنجیره حمله را در سه مرحله اجرا میکنند:
- آلودگی اولیه: کاربر یک دستور PowerShell را اجرا میکند که یک فایل VBS را در پوشه Startup سیستم ذخیره میسازد.
- شناسایی: برنامههایی نظیر GhettoVibe و ScoutCurl برای جمعآوری دادههای مرورگر و مشخصات سیستم مستقر میشوند.
- تثبیت: اگر هدف با استانداردهای «مهم» سندورم همخوانی داشته باشد، بدافزارهای درِ پشتی مانند FreakyPoll نصب میشوند.
به نقل از گزارشهای امنیتی، این چرخش استراتژیک نشان میدهد که گروههای پیشرفته (APT) اکنون از تاکتیکهای سطح پایین و پربازده جنایتکاران سایبری استفاده میکنند تا حتی کارمندانی با سواد فنی بالا را فریب دهند. این روند مشابه عملیاتهای هدفمند دیگر برای سرقت اعتبارنامههای حساس تجاری است که در آن متهاجمان با دقت بالایی اهداف خود را شناسایی میکنند. برای یک مدیر کسبوکار، این موضوع یک شکاف بحرانی در آموزشهای امنیتی را فاش میکند: خطر کپی-پیس کردن دستورات در ترمینال.
گام بعدی شما
- سیاستهای اجرای PowerShell را در سازمان خود بازنگری کرده و اجرای اسکریپتها را بهصورت پیشفرض غیرفعال کنید.
- آموزشهای امنیتی کارکنان را بهگونهای بهروز کنید که هیچ دستوری از وبسایتها نباید در ترمینال سیستم اجرا شود.
- ابزارهای مانیتورینگ سیستم را برای شناسایی فایلهای مشکوک در مسیر Startup تنظیم کنید.
اما این تنها بخشی از جنگ سایبری است؛ برای درک نحوه شناسایی بدافزارهای پیشرفته در حافظه، به تحلیل ما درباره ابزارهای تحلیل حافظه (Memory Forensics) مراجعه کنید.




گفتگو