ClickFix Malware
Скорошна стратегия за разпространение на зловреден софтуер използва измамни известия, наподобяващи грешки на Google Chrome, Microsoft Word и OneDrive. Тези фалшиви сигнали имат за цел да заблудят потребителите да изпълнят заплашителни „поправки“ на PowerShell, които в крайна сметка инсталират зловреден софтуер. Тази кампания е идентифицирана и използвана от различни заплахи, включително тези, свързани с ClearFake, нова група, известна като ClickFix, и прословутия заплаха TA571. TA571 е известен с ролята си на разпространител на спам, отговорен за разпространението на големи обеми имейли, които често водят до заразяване със зловреден софтуер и ransomware.
Преди това атаките на ClearFake включваха наслагвания на уебсайтове, които подвеждаха посетителите да инсталират зловреден софтуер, представяйки се за фалшиви актуализации на браузъра.
Съдържание
Фалшивите сигнали за грешки могат да доставят заплахи за зловреден софтуер
В докладваните атаки участниците в заплахата са разширили своите методи, за да включат JavaScript, вграден в HTML прикачени файлове и компрометирани уебсайтове. Тези тактики сега включват наслагвания, които симулират фалшиви грешки от Google Chrome, Microsoft Word и OneDrive. Тези измамни сигнали приканват посетителите да щракнат върху бутон, за да копират „корекция“ на PowerShell в своя клипборд, като ги инструктират да я поставят и изпълнят или в диалогов прозорец за изпълнение, или в подкана на PowerShell.
Докато тази верига от атаки разчита на значително взаимодействие с потребителя, нейното социално инженерство е достатъчно сложно, за да представи на потребителите това, което изглежда като истински проблем и решение едновременно. Това може да принуди потребителите да действат прибързано, без да оценят напълно свързаните рискове. Изследователите на Infosec са идентифицирали няколко полезни натоварвания, използвани в тези атаки, включително DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , крадец на клипборда и Lumma Stealer .
Измамни скриптове пускат зловреден софтуер към устройствата на потребителите
Анализаторите са идентифицирали три отделни вериги на атаки, разграничаващи се главно от техните начални етапи, като само първата не е окончателно свързана с TA571.
В този първи сценарий, свързан със заплахи, свързани с ClearFake, потребителите посещават компрометирани уебсайтове, които зареждат злонамерени скриптове, хоствани в блокчейна чрез договорите Smart Chain на Binance. Тези скриптове извършват проверки и задействат фалшиви сигнали на Google Chrome, заявяващи проблеми с показването на уеб страница. След това диалоговият прозорец подканва посетителите да инсталират „основен сертификат“, като копират скрипт на PowerShell в клипборда на Windows и го изпълнят в конзолата на Windows PowerShell (Admin).
При изпълнение скриптът PowerShell валидира целевото устройство. Той продължава да изпълнява действия като изчистване на DNS кеша, изчистване на съдържанието на клипборда, показване на съобщение за разсейване и изтегляне на отдалечен скрипт на PowerShell. Този скрипт от своя страна извършва анти-VM проверки, преди да започне изтеглянето на полезен товар за кражба на информация.
ClickFix и Lure имейли, използвани като алтернативни вериги за атака
Втората верига от атаки е свързана с кампанията „ClickFix“, използваща инжектиране на уебсайтове на компрометирани сайтове за създаване на наслагване на iframe, представящо фалшива грешка в Google Chrome. Потребителите се насочват да отворят „Windows PowerShell (Admin)“ и да поставят предоставения код, което води до същите инфекции, споменати по-рано.
Друг метод за заразяване включва базирани на имейл атаки, използващи HTML прикачени файлове, наподобяващи документи на Microsoft Word. Потребителите са подканени да инсталират разширението „Word Online“, за да видят документа правилно. Съобщението за грешка предоставя опциите „Как да коригирам“ и „Автоматично коригиране“. Избирането на „Как да коригирам“ копира кодирана с base64 PowerShell команда в клипборда, като инструктира потребителите да я поставят в PowerShell. „Auto-fix“ използва протокола search-ms, за да покаже хостван в WebDAV файл „fix.msi“ или „fix.vbs“ от споделяне на файлове, контролирано от отдалечен хакер. В тези случаи командите на PowerShell изтеглят и изпълняват или MSI файл, или VBS скрипт, което води до инфекции съответно от Matanbuchus или DarkGate.
По време на тези атаки участниците в заплахата се възползват от липсата на осведоменост на потребителите относно рисковете, свързани с изпълнението на PowerShell команди на техните системи. Те също се възползват от неспособността на Windows да открие и предотврати вредните действия, предизвикани от поставения код.
Разнообразните вериги на атаки, наблюдавани от изследователите, показват, че TA571 активно изследва различни методи за повишаване на ефикасността и откриване на допълнителни пътища за заразяване на по-голям брой системи. Този адаптивен подход подчертава ангажимента на киберпрестъпниците да развиват своите тактики и да разширяват въздействието си в рамките на пейзажа на киберсигурността.
