Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер CORNFLAKE.V3 Задна вратичка

CORNFLAKE.V3 Задна вратичка

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT), Задни вратиг
Превод на:

Киберпрестъпниците все по-често използват измамна техника, известна като ClickFix, за да разпространяват сложна задна врата, CORNFLAKE.V3. Изследователи по сигурността, проследяващи активността, обозначена като UNC5518, са я свързали с операция „достъп като услуга“, при която фалшиви CAPTCHA страници подвеждат жертвите да изпълнят злонамерени команди. След като достъпът бъде получен, той се препродава или споделя с други киберпрестъпни групи за по-нататъшна експлоатация.

Как започва атаката

Веригата на заразяване често започва, когато потребителите взаимодействат с SEO-отровени резултати от търсенето или злонамерени реклами. Жертвите биват пренасочвани към фалшива CAPTCHA страница за потвърждение, проектирана да наподобява Turnstile на Cloudflare или други легитимни услуги. Вярвайки, че решават предизвикателство за потвърждение, потребителите вместо това биват насочвани да копират и поставят злонамерен PowerShell скрипт в диалоговия прозорец „Изпълнение на Windows“, давайки на нападателите необходимата им опора.

Участие на заплашителния актьор

Откраднатият достъп от кампаниите UNC5518 е бил използван от поне две различни групи:

  • UNC5774 – финансово мотивиран участник, доставящ CORNFLAKE за разполагане на допълнителни полезни товари.
  • UNC4108 – група с неясни мотиви, наблюдавана да използва PowerShell за инсталиране на зловреден софтуер като VOLTMARKER и NetSupport RAT.

Това показва как ClickFix служи като портал за различни злонамерени последващи дейности.

Вътре в CORNFLAKE.V3

Задната вратичка CORNFLAKE.V3 съществува както в JavaScript, така и в PHP варианти. Тя е предназначена да:

  • Изпълнявайте различни полезни товари чрез HTTP, включително изпълними файлове, DLL файлове, JavaScript, пакетни файлове и PowerShell команди.
  • Събирайте основни системни данни и ги изпращайте на контролиран от нападател сървър чрез тунели на Cloudflare за скриване.

За разлика от своя предшественик V2, който функционираше само като програма за изтегляне, V3 въвежда постоянство чрез модифициране на ключовете в системния регистър на Windows и поддържа по-широк набор от полезни товари. Чрез него са разпространени поне три полезни товара, включително:

  • Инструмент за разузнаване на Active Directory
  • Kerberoasting скрипт за кражба на идентификационни данни

WINDYTWIST.SEA, C-базирана задна врата с възможности като обратен достъп до обвивката, препредаване на TCP трафик и странично движение

Защо ClickFix е опасен

Методът ClickFix набра скорост в киберпрестъпните среди, защото разчита до голяма степен на човешко взаимодействие. Потребителите биват манипулирани да изпълняват команди сами, заобикаляйки много автоматизирани инструменти за сигурност. Често срещани вектори за доставка включват:

  • Фишинг имейли
  • Кампании за злонамерена реклама
  • Компрометиране на уебсайтове от типа „drive-by“

За да увеличат доверието, нападателите често се представят за известни марки, проверки на Cloudflare или дори проверки на Discord сървъри.

Комерсиализация на комплекти ClickFix

От края на 2024 г., конструктори на ClickFix се появяват в подземни форуми, предлагани на пазара като комплекти „Win + R“. Цените обикновено варират от 200 до 1500 долара на месец, в зависимост от функциите. Отделните компоненти, като например изходен код, целеви страници или скриптове от командния ред, често се продават отделно за 200–500 долара.

Някои разширени комплекти обединяват ClickFix builders с други програми за зареждане на зловреден софтуер и предлагат:

  • Готови целеви страници с различни примамки
  • Команди, гарантирано заобикалящи антивирусното откриване
  • Опции за постоянство и избягване на SmartScreen

Защитни мерки

За да се противодейства на инфекции, базирани на ClickFix, организациите трябва да предприемат проактивни защити. Препоръчителните стъпки включват:

  • Ограничаване или деактивиране на диалоговия прозорец „Изпълнение“ на Windows, където е възможно.
  • Провеждане на редовни симулации на фишинг и социално инженерство за обучение на потребителите.
  • Внедряване на надеждно регистриране и наблюдение за бързо откриване на необичайни изпълнения на PowerShell или скриптове.

Като се фокусират както върху превенцията, така и върху ранното откриване, организациите могат значително да намалят риска, породен от кампании, включващи ClickFix и CORNFLAKE.V3.

Тенденция

Brobitte.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Тъй като дигиталните заплахи стават все по-измамни, е жизненоважно потребителите да бъдат бдителни и предпазливи, докато сърфират в мрежата. Злонамерени лица непрекъснато създават измамни...

Най-гледан

Зловреден софтуер

Фишинг, Спам
36,025
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...