ClickFix Malware
Una recent estratègia de distribució de programari maliciós utilitza notificacions enganyoses que s'assemblen als errors de Google Chrome, Microsoft Word i OneDrive. Aquestes alertes falses tenen com a objectiu enganyar els usuaris perquè executin "correccions" amenaçadores de PowerShell, que finalment instal·len programari maliciós. Aquesta campanya ha estat identificada i utilitzada per diversos actors d'amenaça, inclosos els associats amb ClearFake, un nou grup conegut com a ClickFix i el famós actor d'amenaça TA571. TA571 és conegut pel seu paper com a distribuïdor de correu brossa, responsable de difondre grans volums de correus electrònics que sovint condueixen a infeccions de programari maliciós i ransomware.
Anteriorment, els atacs de ClearFake implicaven superposicions de llocs web que enganyaven els visitants perquè instal·lessin programari maliciós fent-se passar per actualitzacions falses del navegador.
Taula de continguts
Les alertes d’error falses poden generar amenaces de programari maliciós
En els atacs denunciats, els actors de les amenaces han ampliat els seus mètodes per incloure JavaScript incrustat en fitxers adjunts HTML i llocs web compromesos. Aquestes tàctiques ara inclouen superposicions que simulen errors falsos de Google Chrome, Microsoft Word i OneDrive. Aquestes alertes enganyoses demanen als visitants que facin clic en un botó per copiar una "correcció" de PowerShell al porta-retalls, indicant-los que l'enganxi i l'executen en un diàleg d'execució o en un missatge de PowerShell.
Tot i que aquesta cadena d'atac es basa en una interacció significativa de l'usuari, la seva enginyeria social és prou sofisticada per presentar als usuaris el que sembla ser un problema i una solució reals simultàniament. Això pot obligar els usuaris a actuar precipitadament sense avaluar completament els riscos associats. Els investigadors d'Infosec han identificat diverses càrregues útils utilitzades en aquests atacs, com ara DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , un segrestador de porta-retalls i Lumma Stealer .
Els scripts fraudulents posen programari maliciós als dispositius dels usuaris
Els analistes han identificat tres cadenes d'atac diferents que es distingeixen principalment per les seves etapes inicials, i només la primera no està vinculada definitivament a TA571.
En aquest primer escenari, associat amb actors d'amenaça connectats a ClearFake, els usuaris visiten llocs web compromesos que carreguen scripts maliciosos allotjats a la cadena de blocs mitjançant els contractes Smart Chain de Binance. Aquests scripts realitzen comprovacions i desencadenen alertes falses de Google Chrome que reclamen problemes amb la visualització de la pàgina web. Aleshores, el diàleg demana als visitants que instal·lin un "certificat arrel" copiant un script de PowerShell al porta-retalls de Windows i executant-lo en una consola de Windows PowerShell (administració).
Un cop s'executa, l'script de PowerShell valida el dispositiu de destinació. Procedeix a realitzar accions com ara esborrar la memòria cau DNS, esborrar el contingut del porta-retalls, mostrar un missatge de distracció i descarregar un script de PowerShell remot. Aquest script, al seu torn, realitza comprovacions anti-VM abans d'iniciar la descàrrega d'una càrrega útil que roba informació.
Correu electrònics ClickFix i atraure utilitzats com a cadenes d’atac alternatives
La segona cadena d'atac està vinculada a la campanya "ClickFix", utilitzant injeccions de llocs web en llocs compromesos per crear una superposició iframe que presenti un error fals de Google Chrome. Es demana als usuaris que obrin "Windows PowerShell (administrador)" i enganxeu el codi proporcionat, donant lloc a les mateixes infeccions esmentades anteriorment.
Un altre mètode d'infecció implica atacs basats en correu electrònic mitjançant fitxers adjunts HTML que s'assemblen a documents de Microsoft Word. Es demana als usuaris que instal·lin l'extensió "Word Online" per veure el document correctament. El missatge d'error ofereix les opcions "Com solucionar-ho" i "Arreglar automàticament". Si seleccioneu "Com solucionar-ho", es copia una ordre de PowerShell codificada en base64 al porta-retalls i s'indica als usuaris que l'enganxi a PowerShell. "Auto-fix" utilitza el protocol search-ms per mostrar un fitxer "fix.msi" o "fix.vbs" allotjat per WebDAV des d'un fitxer compartit controlat per un atacant remot. En aquests casos, les ordres de PowerShell descarreguen i executen un fitxer MSI o un script VBS, provocant infeccions per Matanbuchus o DarkGate, respectivament.
Durant aquests atacs, els actors d'amenaça exploten la manca de consciència dels usuaris sobre els riscos associats a l'execució d'ordres de PowerShell als seus sistemes. També aprofiten la incapacitat de Windows per detectar i prevenir les accions nocives provocades pel codi enganxat.
Les variades cadenes d'atac observades pels investigadors indiquen que TA571 està explorant activament diversos mètodes per millorar l'eficàcia i descobrir vies addicionals per infectar un major nombre de sistemes. Aquest enfocament adaptatiu subratlla el compromís dels ciberdelinqüents per evolucionar les seves tàctiques i ampliar el seu impacte en el panorama de la ciberseguretat.
