اختراق Booking.com بتقنية ClickFix: كيف يخترق Storm-1865 أجهزة موظفي المؤسسات المالية السعودية عبر CAPTCHA مزيفة

في أبريل 2026، أعلنت شركة Booking.com عن اختراق أمني خطير كشف بيانات حجوزات ملايين المسافرين حول العالم، بعد أن نجح مجموعة التهديد Storm-1865 في اختراق شركاء الفنادق عبر تقنية تصيّد متطورة تُعرف بـ ClickFix. ما يجعل هذا الهجوم بالغ الأهمية لمؤسساتنا المالية السعودية هو أن الموظفين يُعدّون الحلقة الأضعف — وأي موظف استخدم البريد الإلكتروني المؤسسي للحجز عبر منصات السفر قد يكون نقطة الدخول التالية إلى شبكتكم.

ما هي تقنية ClickFix وكيف تعمل؟

تقنية ClickFix ليست ثغرة برمجية بالمعنى التقليدي، بل هي أسلوب هندسة اجتماعية محكم يستغل ثقة الضحية بصفحات التحقق المألوفة. يبدأ الهجوم برسالة بريد إلكتروني تبدو واردة من Booking.com تُخطر موظف الفندق بمراجعة سلبية من نزيل أو بطلب تحقق عاجل. عند النقر على الرابط، تُعرض على الضحية صفحة CAPTCHA مزيفة تُشبه تماماً واجهة Booking.com الحقيقية. الفارق الخطير: تطلب هذه الصفحة من المستخدم فتح نافذة Run في ويندوز ولصق أمر تم نسخه تلقائياً إلى الحافظة وتنفيذه. هذا الأمر يستخدم أداة mshta.exe الشرعية المدمجة في ويندوز لتحميل وتشغيل برمجيات خبيثة مباشرة من خوادم المهاجمين.

الحمولات الخبيثة: ترسانة متكاملة لسرقة البيانات

ما يُميّز هجمات Storm-1865 هو تعدد الأدوات المستخدمة في آنٍ واحد. بعد تنفيذ الأمر، يتم تثبيت مزيج من البرمجيات الخبيثة على جهاز الضحية: XWorm وVenomRAT لإنشاء وصول خلفي دائم، وLumma Stealer لسرقة كلمات المرور والجلسات النشطة من المتصفحات، وAsyncRAT لمنح المهاجم تحكماً كاملاً عن بُعد، إلى جانب Danabot المتخصص في سرقة بيانات المصرفية الإلكترونية وNetSupport RAT للوصول المستمر. هذا يعني أن المهاجم يحصل فوراً على بيانات اعتماد البريد الإلكتروني المؤسسي، وجلسات VPN النشطة، وكلمات مرور الأنظمة الداخلية — كل ذلك من جهاز موظف واحد لم يفعل سوى أنه "تحقق من CAPTCHA".

التأثير المباشر على المؤسسات المالية السعودية

قد يتساءل بعضكم: كيف يرتبط اختراق منصة سياحية بالقطاع المالي السعودي؟ الإجابة في تفاصيل الاختراق ذاتها. كشف التحقيق أن Storm-1865 استخدم الحسابات المخترقة في شركات الضيافة كمنصة انطلاق لهجمات أوسع، إذ وصل إلى بيانات 170 منشأة ضيافة أو أكثر في جولة واحدة. المؤسسات المالية السعودية معرّضة بشكل خاص من ثلاثة محاور: أولاً، الموظفون الذين يستخدمون بريدهم المؤسسي لحجوزات السفر يُقدمون للمهاجمين صلة مباشرة بالشبكة الداخلية. ثانياً، إدارات السفر والمشتريات التي تتعامل مع Booking.com وما يُشابهها قد تكون هدفاً مباشراً كمزودي خدمات طرف ثالث. ثالثاً، أي بيانات عملاء تُخزَّن في أنظمة متصلة بالبنية التحتية المخترقة تقع في مرمى الخطر.

من منظور SAMA CSCC، يندرج هذا الهجوم تحت نطاق المجال الثالث (إدارة الهوية والوصول) والمجال الخامس (إدارة أمن الطرف الثالث). إذا كانت منظمتك لا تُطبّق سياسة واضحة لاستخدام البريد الإلكتروني المؤسسي مع المنصات الخارجية، فإنها تُخالف متطلبات SAMA CSCC حول التحكم في الوصول وحوكمة الطرف الثالث. كما أن اشتراط NCA ECC الخاص بمراقبة نقاط النهاية (Endpoint Monitoring) يصبح حرجاً هنا، إذ إن تثبيت XWorm أو VenomRAT على محطة عمل مؤسسية دون اكتشاف يُعدّ إخفاقاً مباشراً في تطبيق هذا الاشتراط.

كيف تعمل تقنية ClickFix على تجاوز الدفاعات التقليدية؟

خطورة ClickFix تكمن في استغلالها الثقة البشرية لا الثغرات التقنية. معظم حلول أمن البريد الإلكتروني التقليدية لن تُحجب الرسالة لأنها لا تحمل مرفقاً خبيثاً أو رابطاً موسوماً. الصفحة المزيفة تُشبه تماماً صفحات CAPTCHA المشروعة التي اعتاد عليها الموظفون. والأهم من ذلك، الأمر المُنفَّذ يستخدم mshta.exe — وهو ملف نظام شرعي موقّع من مايكروسوفت — مما يجعله يتجاوز كثيراً من حلول الكشف القائمة على التوقيعات. هذا النمط يُعرف في صناعتنا بـ "Living off the Land" أو استغلال الأدوات المدمجة في النظام، وهو نفس الأسلوب الذي وثّقه المعهد الوطني الأمريكي NIST ضمن أخطر أساليب التهرب من الكشف لعام 2026.

التوصيات والخطوات العملية

1. حظر تشغيل mshta.exe من مواقع الشبكة وحافظة النسخ: قم بتطبيق سياسات AppLocker أو Windows Defender Application Control لتقييد تشغيل mshta.exe خارج الاستخدامات المحددة، مع تنبيه فوري عند أي محاولة تشغيل من سطر أوامر مُدخَل يدوياً.
2. تدريب توعوي مخصص لتقنية ClickFix: لا يكفي التدريب التقليدي على التصيد هنا. يحتاج الموظفون إلى تدريب محاكاة يُظهر لهم صفحات CAPTCHA المزيفة تحديداً وما يُحدث الشك فيها، مع التركيز على قاعدة ذهبية: لا يوجد موقع شرعي يطلب منك فتح Run وتنفيذ أمر برمجي.
3. تطبيق سياسة استخدام البريد الإلكتروني للمنصات الخارجية: أصدر تعليمات واضحة تحظر استخدام البريد المؤسسي للتسجيل في خدمات سياحية أو ترفيهية أو أي منصة ليست مصرّحاً بها رسمياً.
4. تعزيز حلول EDR للكشف عن Living-off-the-Land: تأكد أن حل EDR المستخدم يُنبّه على استخدام mshta.exe وwscript.exe وpowershell.exe بالطريقة التي توصفها قواعد MITRE ATT&CK للتقنيات T1218.005 وT1059.
5. مراجعة دورية لعقود الطرف الثالث: تحقق من أن اشتراطات SAMA CSCC المتعلقة بأمن المورّدين مُدرجة صراحةً في عقود شركاء السفر وإدارة الفنادق، بما يشمل متطلبات الإبلاغ الفوري عن الحوادث.
6. مراقبة الاستدعاءات غير الاعتيادية لـ mshta.exe في SIEM: أضف قاعدة كشف في SIEM الخاص بك تُنبّه فور تشغيل mshta.exe في سياق غير متوقع، خاصة إذا تبعه اتصال بعناوين IP خارجية.

الخلاصة

هجوم Storm-1865 على Booking.com يُذكّرنا بحقيقة جوهرية: أكثر الهجمات الناجحة لا تخترق الجدران التقنية بل تتجاوزها من خلال السلوك البشري. CAPTCHA المزيفة التي ينفذ فيها موظف أمراً على جهازه المؤسسي قد تكون بداية اختراق يُكلّف مؤسستك الامتثال لمتطلبات SAMA CSCC وإشعارات PDPL وتحقيقات NCA. الدفاع الحقيقي يبدأ من دمج التوعية الأمنية مع ضوابط تقنية صارمة واستراتيجية اختبار مستمرة.

هل مؤسستك محمية من هجمات Living-off-the-Land؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC واختبار مقاومة موظفيك لهجمات ClickFix والتصيد المتطور.