مایکروسافت از یک حمله ClickFix مبتنی بر DNS پرده برداشت که در آن از ابزار Nslookup برای مرحله‌سازی و آماده‌سازی بدافزار استفاده شده است

شرکت مایکروسافت جزئیات یک نسخه جدید از تکنیک مهندسی اجتماعی ClickFix را منتشر کرده است که در آن مهاجمان کاربران را فریب می‌دهند تا با اجرای یک دستور ساده، پیلود مرحله دوم (Stage 2)بدافزار را از طریق جستوجوی DNS (DNS lookup) دریافت و اجرا کنند.

در این حمله، دستور nslookup (مخفف nameserver lookup) از طریق پنجره Windows Run اجرا می‌شود و یک درخواست DNS سفارشی به سرور خارجی ارسال می‌کند تا پیلود مرحله دوم دریافت و به‌طور خودکار اجرا گردد.

ClickFix؛ از فیشینگ تا مرحله‌بندی بدافزار مبتنی برDNS

ClickFix طی دو سال گذشته به یکی از مؤثرترین تکنیک‌های مهندسی اجتماعی تبدیل شده است. این تکنیک معمولاً از طریق فیشینگ ایمیلی، تبلیغات مخرب، دانلودهایDrive-by و صفحات جعلی CAPTCHA منتشر می‌شود.

قربانی تصور می‌کند در حال رفع یک مشکل سیستمی است اما در واقع خودش بدافزار را اجرا می‌کند؛ موضوعی که به مهاجمان اجازه می‌دهد بسیاری از مکانیزم‌های امنیتی را دور بزنند.

اثرگذاری بالای ClickFix باعث شده چندین نسخه از آن ایجاد شود، از جمله:

FileFix
CrashFix
ConsentFix
GlitchFix

نسخه جدید ClickFix: استفاده از DNS به‌عنوان کانال سبک و مخفی برای مرحله‌بندی بدافزار

طبق اعلام تیم Threat Intelligence شرکت مایکروسافت، در این نسخه، دستور اولیه از طریق cmd.exe اجرا شده و به جای استفاده از DNS پیش‌فرض سیستم، یک سرور DNS خارجی هاردکدشده را کوئری می‌کند تا مرحله دوم بدافزار فعال شود.

نحوه عملکرد مرحله به مرحله

اجرای nslookup از طریق Run Dialog ویندوز
ارسال کوئری به سرور DNS خارجی هاردکد شده
استخراج مقدار Name: از پاسخ DNS
اجرای خروجی به عنوان مرحله دوم پیلود

چرا مهاجمان ازDNS استفاده می‌کنند؟

استفاده از DNS

وابستگی به درخواست‌های HTTP را کاهش می‌دهد.
ترافیک مخرب را در میان ترافیک عادی شبکه پنهان می‌کند.
یک لایه اعتبارسنجی جدید برای مهاجم ایجاد می‌کند.

زنجیره حمله پس از اجرای مرحله دوم ClickFix

پس از اجرای مرحله دوم، زنجیره حمله وارد فاز بعدی می‌شود و مراحل زیر را طی می‌کند:

دانلود فایل ZIP مخرب از سرور خارجی (azwsappdev[.]com)
استخراج و اجرای اسکریپت Python برای انجام عملیات شناسایی (Reconnaissance) و اجرای دستورات کشف اطلاعات سیستم (Discovery)
ایجاد یک فایل VBScript با هدف راه‌اندازی بدافزار اصلی
اجرای بدافزار نهایی ModeloRAT

ModeloRAT یک تروجان دسترسی از راه دور مبتنی بر Python است که برای مهاجم امکان کنترل سیستم قربانی، جمع‌آوری اطلاعات حساس و فراهم‌سازی بستر برای مراحل بعدی نفوذ را فراهم می‌کند.

مکانیزم ماندگاری در حمله ClickFix

برای حفظ دسترسی دائم و اجرای خودکار بدافزار، مهاجمان یک فایل میانبر ویندوز (LNK) در فولدر Startup ایجاد می‌کنند. این میانبر به VBScript مخرب مرتبط است و باعث می‌شود بدافزار با هر بار روشن شدن سیستم (Boot) به‌صورت خودکار اجرا شود.

این روش یکی از رایج‌ترین مکانیزم‌های ماندگاری (Persistence Mechanism) در ویندوز است و به مهاجمان اجازه می‌دهد بدون نیاز به اجرای دستی دوباره، کنترل سیستم آلوده را حفظ کنند.

افزایش فعالیت Lumma Stealer و CastleLoader

به‌موازات این حملات، شرکت Bitdefender از رشد چشمگیر فعالیت بدافزار Lumma Stealer خبر داده است.

کامپوننت‌های کلیدی زنجیره حمله:

لودر اصلی: CastleLoader
گروه تهدید مرتبط: GrayBravo (نام پیشین: TAG-150)

CastleLoader به‌عنوان یک لودر بدافزار (malware loader) عمل می‌کند و مسئول بارگذاری و اجرای Lumma Stealer است. این لودر پیش از اجرای بدافزار، بررسی‌هایی برای شناسایی محیط‌های مجازی‌سازی (Virtualization) و نرم‌افزارهای امنیتی انجام می‌دهد تا احتمال شناسایی و متوقف شدن حمله کاهش یابد

ویژگی‌های برجسته CastleLoader

بررسی و شناسایی محیط‌های مجازی‌سازی
شناسایی و دور زدن نرم‌افزارهای امنیتی
اجرای پیلود مستقیماً در حافظه سیستم (In-Memory Execution)
استفاده از AutoIt برای اجرای اسکریپت‌ها و بارگذاری بدافزار
دامنه مرتبط: testdomain123123[.]shop (مرتبط با سرور C2)

کشورهای هدف اصلی

هند
فرانسه
آمریکا
اسپانیا
آلمان

اثربخشی ClickFix و استفاده از لودرهای متعدد برای توزیع Lumma Stealer

شرکت Bitdefender تأکید می‌کند که موفقیت حملات ClickFix بیشتر به دلیل سوءاستفاده از اعتماد به عملکردهای متداول کاربران است تا آسیب‌پذیری‌های فنی. دستورالعمل‌های ارائه شده در این حملات شبیه مراحل عیب‌یابی سیستم یا راهکارهای تایید صحت هستند که کاربران ممکن است پیش‌تر با آن‌ها مواجه شده باشند، بنابراین قربانیان اغلب متوجه اجرای کد مخرب روی سیستم خود نمی‌شوند.

لودرهای متعدد در زنجیرهLumma Stealer

CastleLoader تنها لودر مورد استفاده برای توزیع Lumma Stealer نیست. از مارس 2025 کمپین‌های سایبری از RenEngine Loader نیز استفاده کرده‌اند. این لودر بدافزار را تحت پوشش تقلب‌های بازی و نرم‌افزارهای کرک شده مانند CorelDRAW منتشر می‌کند.

مسیر توزیع بدافزار:

RenEngine Loader بدافزار اولیه را بارگذاری می‌کند.
لودر ثانویه Hijack Loader فعال شده و Lumma Stealer را روی سیستم قربانی نصب می‌کند.

بر اساس آمار Kaspersky، حملات مبتنی بر RenEngine Loader از مارس 2025 کاربران کشورهای روسیه، برزیل، ترکیه، اسپانیا، آلمان، مکزیک، الجزایر، مصر، ایتالیا و فرانسه را هدف قرار داده است.

کمپین‌های فعال ClickFix و روش‌های پیشرفته توزیع بدافزار

تکنیک ClickFix در چندین کمپین برای توزیع Stealerها و بدافزارهای پیشرفته به کار رفته است:

macOS

Odyssey Stealer (ریبرند Poseidon Stealer و فورک AMOS) اطلاعات 203 افزونه مرورگر و 18 کیف پول دسکتاپ را سرقت می‌کند.
به‌عنوان یک تروجان دسترسی از راه دور (RAT) با اتصال دائمی به سرور C2 و استفاده از پروکسی SOCKS5، ترافیک مخرب را هدایت می‌کند.

Windows

کاربران با صفحات CAPTCHA جعلی فریب داده می‌شوند تا دستورات PowerShell اجرا شده و بدافزار StealC نصب شود.
کمپین‌های ایمیلی نیز با فایل‌های SVG مخرب داخل ZIP رمزگذاری‌شده، Stealerium (.NET) را اجرا می‌کنند.

سوءاستفاده از سرویس‌های هوش مصنوعی و تبلیغات قانونی

سرویس‌های هوش مصنوعی مانند Anthropic Claude برای انتشار دستورالعمل‌های ClickFix و نصب Atomic Stealer و MacSync Stealer روی macOS استفاده شده است. کاربران از طریق لینک‌های تبلیغاتی هدایت و به مقالات جعلی فرستاده می‌شوند تا مرحله بعدی بدافزار از سرورهای خارجی دریافت شود.
تبلیغات قانونی و دامنه‌های معتبر به بردار توزیع بدافزار تبدیل شده‌اند.

تکنیک‌های پیشرفته در macOS

استفاده از AppleScript برای سرقت اطلاعات و اجرای پیلودهای اضافی.
جعل مجوزهای TCC برای دسترسی به باینری‌های امضاشده اپل.
کمپین‌های ClearFake با CAPTCHA جعلی روی سایت‌های وردپرس، اجرای فایل‌های HTA و نصب Lumma Stealer.
تکنیک EtherHiding با قرار دادن کد مخرب در شبکه BNB Smart Chain برای پنهان‌سازی فعالیت.

هشدار حیاتی برای سازمان‌ها

روندهای جدید نشان می‌دهند که macOS دیگر هدفی حاشیه‌ای نیست و مهاجمان به‌طور فزاینده‌ای به دنبال آلوده کردن سیستم‌های اپل با Stealerها و ابزارهای پیشرفته هستند. تحقیقات اخیر نشان می‌دهد:

سرقت رمزارز اولویت اصلی Stealerها است.
DNS به کانال C2 مخفی تبدیل شده است.
تبلیغات قانونی و شناخته‌شده به بردار توزیع بدافزار بدل شده‌اند.
فرض قدیمی «Mac ویروس نمی‌گیرد» دیگر نه تنها اشتباه، بلکه کاملاً خطرناک است.

جمع‌بندی تحلیلی

حمله جدید ClickFix مبتنی بر DNS یک تحول اساسی در تاکتیک‌ها و تکنیک‌های مهندسی اجتماعی (TTP) است که مهاجمان از آن برای فریب کاربران و اجرای بدافزار استفاده می‌کنند. مهم‌ترین ویژگی‌ها و پیامدهای این حمله شامل موارد زیر است:

استفاده از DNS برای مرحله‌بندی مخفیانه بدافزار (Stealth Staging)
اجرای دستورات و کدها توسط قربانی
تمرکز شدید بر سرقت رمزارز
همگرایی و همکاری بین Stealerها و Loaderها

این حملات بیش از هر آسیب‌پذیری فنی، بر خطای انسانی هدایت‌شده متکی هستند و نشان می‌دهند که حتی کاربران فنی و با تجربه نیز می‌توانند قربانی شوند.

منابع

https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html