کاربران ابزار Claude Code هدف یک حمله ClickFix قرار گرفتهاند که با استفاده از وبسایتهای جعلی Anthropic اجرا میشود. این عملیات با فریب قربانیان برای اجرای دستورات مخرب آغاز شده و در نهایت منجر به استقرار یک بدافزار رباینده اطلاعات بدون فایل (Fileless Infostealer) میشود. در این حمله ClickFix، مهاجمان با استفاده از تکنیکهای مبتنی بر حافظه (In-Memory)، دور زدن رابط اسکن ضدبدافزار ویندوز (AMSI) و یک زنجیره آلودگی بدون فایل، تلاش میکنند فعالیت بدافزار را از دید بسیاری از راهکارهای امنیتی پنهان نگه دارند.
بر اساس گزارش جدید شرکت امنیتی Cyderes، این کمپین سرقت اعتبارنامه بهطور ویژه کاربران تازهوارد Claude Code را هدف قرار داده است. عاملان تهدید با بهرهگیری از محبوبیت روزافزون ابزارهای کدنویسی مبتنی بر هوش مصنوعی، صاحبان کسبوکارهای کوچک، کارآفرینان و معلمان را هدف قرار میدهند؛ گروهی از کاربران که معمولاً به کنترلهای امنیتی پیشرفته و سامانههای دفاعی سازمانی دسترسی ندارند.
زنجیره حمله ClickFix
یافتههای Cyderes نشان میدهد این زنجیره حمله با آلودهسازی سئو (SEO Poisoning) آغاز میشود. در این روش، کاربرانی که بهدنبال نصب یا راهاندازی Claude Code هستند، از طریق نتایج دستکاریشده موتورهای جستوجو به صفحات جعلی منتسب به Anthropic هدایت میشوند؛ صفحاتی که با جعل ظاهر و هویت وبسایت رسمی Anthropic، برای جلب اعتماد کاربران و هدایت آنها به مراحل بعدی حمله طراحی شدهاند.
پس از ورود به این وبسایتها، از کاربر خواسته میشود پنجره Run ویندوز را با کلیدهای Win+R باز کرده و یک دستور مخرب مبتنی بر mshta.exe را اجرا کند. این مرحله در واقع نقطه آغاز حمله ClickFix است؛ تکنیکی مبتنی بر مهندسی اجتماعی که بهجای تکیه بر اکسپلویتهای فنی، قربانی را به اجرای مستقیم کد مخرب ترغیب میکند.
با اجرای این دستور، مهاجمان به قابلیتی موسوم به اجرای مستقیم دستورات توسط کاربر (Hands-on Keyboard Execution) دست پیدا میکنند؛ رویکردی که باعث میشود اجرای کد مخرب بهعنوان بخشی از فعالیت معمول کاربر تلقی شده و شناسایی آن برای سامانههای تحلیل خودکار دشوارتر شود.
پیلود چندقالبی؛ ترفند مهاجمان برای مخفیسازی کد مخرب
پس از اجرای mshta.exe، فایل دیگری به حجم 6.7 مگابایت از دامنه download.version-516.com/claude دریافت میشود. این فایل یک پیلود چندقالبی (Polyglot Payload) است؛ به این معنا که میتواند بهطور همزمان در قالب یک فایل صوتی MP3 و یک فایل HTML کاربردی (HTA) معتبر تفسیر شود.
مهاجمان با قرار دادن تگهای استاندارد صوتی و تصویر کاور در این فایل، آن را در ظاهر به یک فایل صوتی معمولی تبدیل کردهاند. با این حال، در دل همین فایل یک اسکریپت HTA نیز پنهان شده است که پس از پردازش توسط mshta.exe، روی سیستم قربانی اجرا میشود.
در نتیجه، نرمافزارهای پخش رسانه مانند VLC این فایل را بهعنوان یک فایل صوتی سالم و قابل پخش شناسایی میکنند، اما mshta.exe محتوای مخرب پنهان در آن را استخراج و اجرا میکند. این روش به مهاجمان اجازه میدهد پیلود خود را در پوشش یک فایل ظاهراً سالم توزیع کرده و احتمال شناسایی آن را در بررسیهای مبتنی بر نوع فایل کاهش دهند.
دور زدن مکانیزمهای دفاعی ویندوز
بر اساس گزارش Cyderes، در حمله ClickFix پس از اجرای اسکریپت اولیه، یک تسک زمانبندیشده (Scheduled Task) مخفی روی سیستم ایجاد میشود که نسخه 32 بیتی پاورشل ویندوز (Windows PowerShell) را به اجرا درمیآورد. به اعتقاد پژوهشگران، مهاجمان این نسخه را بهصورت هدفمند انتخاب کردهاند؛ زیرا بسیاری از سامانههای EDR تمرکز بیشتری بر مانیتورینگ فعالیتهای نسخه 64 بیتی پاورشل دارند.
در ادامه، لودر مخرب با اجرای تکنیک دور زدن رابط اسکن ضدبدافزار ویندوز (AMSI Bypass)، قابلیت بررسی و تحلیل اسکریپتها توسط مکانیزم امنیتی داخلی ویندوز را مختل میکند. این اقدام به بدافزار اجازه میدهد بخش قابلتوجهی از فعالیتهای خود را بدون جلب توجه راهکارهای امنیتی انجام دهد.
پس از آن، بدافزار با استفاده از کلید رمزگشایی BWJFEesMEqRvjQbm محتوای پنهان خود را از حالت رمزگذاریشده خارج کرده و برای تولید یک شناسه منحصربهفرد، اطلاعاتی نظیر نام رایانه و نام کاربری قربانی را با یکدیگر ترکیب میکند. این شناسه در ادامه عملیات برای شناسایی و ردیابی قربانی توسط زیرساخت مهاجمان مورد استفاده قرار میگیرد.
دلیل اهمیت اسکریپت 17 مگابایتی برای حمله ClickFix
در مرحله بعد، بدافزار به سرور مهاجمان متصل شده و یک اسکریپت بزرگ 17 مگابایتی را از دامنه oakenfjrod.ru دریافت میکند. به گفته محققان Cyderes، حجم غیرعادی این فایل تصادفی نیست؛ مهاجمان آن را بهگونهای طراحی کردهاند که بتواند ابزارهای تحلیل خودکار و محیطهای ایزولهسازی (Sandbox) را با حجم بالایی از داده مواجه کرده و فرآیند بررسی امنیتی را مختل کند.
نکته مهم اینجاست که کل این مرحله در حافظه سیستم انجام میشود و هیچ فایل مستقلی روی هارد دیسک قربانی ذخیره نمیشود. این روش که مبتنی بر اجرای کد در حافظه است، ردپای بدافزار را به حداقل رسانده و شناسایی آن را برای بسیاری از راهکارهای امنیتی مبتنی بر فایل دشوارتر میکند. در نتیجه در این بخش از حمله ClickFix، مهاجمان میتوانند بخش قابلتوجهی از زنجیره آلودگی را بدون ایجاد آثار قابل مشاهده روی دیسک اجرا کنند؛ موضوعی که این عملیات را به یک حمله تقریباً نامرئی از دید بسیاری از ابزارهای امنیتی سنتی تبدیل میکند.
پیلود نهایی و نقش بدافزار رباینده اطلاعات بدون فایل
در مرحله نهایی زنجیره حمله ClickFix، یک بدافزار رباینده اطلاعات مبتنی بر .NET در اسکریپت مرحله سوم (Stage 3) بارگذاری میشود. این بدافزار با سوءاستفاده از قابلیت Assembly.Load(byte[]) در فریمورک .NET، پیلود خود را مستقیماً در فضای حافظه پردازه PowerShell.exe اجرا میکند. این روش باعث میشود بدافزار بدون ایجاد فایل جدید روی دیسک فعالیت کرده و ماهیت بدون فایل حمله حفظ شود.
پس از اجرای موفق پیلود، مرحله سرقت اطلاعات آغاز میشود. بدین ترتیب بدافزار به مخزن اعتبارنامههای مرورگر دسترسی پیدا کرده و دادههای ذخیرهشده از جمله نامهای کاربری، رمزهای عبور و سایر اطلاعات احراز هویت را استخراج میکند. سپس اطلاعات سرقتشده برای سرور فرماندهی و کنترل (C2) واقع در آدرس 185.177.239.255:443 ارسال میشود. به گفته پژوهشگران، این آدرس IP بهطور مستقیم به زیرساختهای مستقر در روسیه هدایت میشود.
توصیههای امنیتی
با توجه به تداوم فعالیت حمله ClickFix، تیم تحقیقاتی Cyderes تأکید کرده است که هیچ نشانهای از نفوذ به زیرساختها یا سرویسهای Anthropic مشاهده نشده و مهاجمان صرفاً از نام و هویت این شرکت برای فریب کاربران سوءاستفاده کردهاند. این شرکت به تیمهای امنیتی توصیه میکند کوئریهای مبتنی بر الگوی *.oakenfjrod.ruرا مسدود کرده و ارتباطات خروجی پردازه mshta.exe را بهدقت زیر نظر داشته باشند تا از ایستگاههای کاری (Workstations) در برابر این کمپین فعال محافظت شود.
