Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós CORNFLAKE.V3 Porta del darrere

CORNFLAKE.V3 Porta del darrere

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Portes del darrere
Traduir a:

Els actors amenaçadors exploten cada cop més una tècnica enganyosa coneguda com a ClickFix per distribuir una porta del darrere sofisticada, CORNFLAKE.V3. Els investigadors de seguretat que rastregen l'activitat, designada UNC5518, l'han vinculat a una operació d'accés com a servei on pàgines CAPTCHA falses enganyen les víctimes perquè executin ordres malicioses. Un cop s'obté l'accés, es reven o es comparteix amb altres grups ciberdelinqüents per a una major explotació.

Com comença l’atac

La cadena d'infecció sovint comença quan els usuaris interactuen amb resultats de cerca enverinats per SEO o anuncis maliciosos. Les víctimes són redirigides a una pàgina de verificació CAPTCHA falsa, dissenyada per semblar-se al Turnstile de Cloudflare o altres serveis legítims. Creient que estan resolent un repte de verificació, els usuaris són guiats a copiar i enganxar un script de PowerShell maliciós al quadre de diàleg Executar de Windows, donant als atacants el punt de suport que necessiten.

Implicació d’actors amenaçadors

L'accés robat de les campanyes UNC5518 ha estat aprofitat per almenys dos grups diferents:

  • UNC5774: un actor amb motivació financera que lliura CORNFLAKE per desplegar càrregues útils addicionals.
  • UNC4108: un grup amb motius poc clars, observat utilitzant PowerShell per instal·lar programari maliciós com ara VOLTMARKER i NetSupport RAT.

Això demostra com ClickFix serveix com a porta d'entrada per a diverses activitats de seguiment malicioses.

Dins de CORNFLAKE.V3

La porta del darrere CORNFLAKE.V3 existeix tant en variants de JavaScript com de PHP. Està dissenyada per:

  • Executar diferents càrregues útils mitjançant HTTP, inclosos executables, DLL, JavaScript, fitxers per lots i ordres de PowerShell.
  • Recopila dades bàsiques del sistema i envia-les a un servidor controlat per un atacant a través de túnels de Cloudflare per ocultar-les.

A diferència del seu predecessor V2, que només funcionava com a descarregador, V3 introdueix la persistència modificant les claus d'execució del registre de Windows i admet una gamma més àmplia de càrregues útils. S'han distribuït almenys tres càrregues útils a través d'ell, incloent-hi:

  • Una eina de reconeixement de l'Active Directory
  • Un script de Kerberoasting per al robatori de credencials

WINDYTWIST.SEA, una porta del darrere basada en C amb capacitats com ara accés invers a shell, retransmissió de trànsit TCP i moviment lateral.

Per què ClickFix és perillós

El mètode ClickFix ha guanyat impuls en els cercles de ciberdelinqüència perquè depèn en gran mesura de la interacció humana. Els usuaris són manipulats perquè executin ordres ells mateixos, evitant moltes eines de seguretat automatitzades. Els vectors de lliurament habituals inclouen:

  • Correus electrònics de phishing
  • Campanyes de publicitat maliciosa
  • Compromeses de llocs web infiltrades

Per augmentar la credibilitat, els atacants sovint suplanten marques conegudes, comprovacions de Cloudflare o fins i tot verificacions del servidor Discord.

Comercialització dels kits ClickFix

Des de finals del 2024, els constructors de ClickFix han aparegut en fòrums clandestins, comercialitzats com a kits "Win + R". Els preus solen oscil·lar entre els 200 i els 1.500 dòlars al mes, depenent de les característiques. Els components individuals, com ara el codi font, les pàgines de destinació o els scripts de línia d'ordres, sovint es venen per separat per entre 200 i 500 dòlars.

Alguns kits avançats combinen els constructors de ClickFix amb altres carregadors de programari maliciós i ofereixen:

  • Pàgines de destinació ja fetes amb diferents esquers
  • Comandes garantides per evitar la detecció antivirus
  • Opcions per a la persistència i l'evasió de SmartScreen

Mesures defensives

Per contrarestar les infeccions basades en ClickFix, les organitzacions haurien d'adoptar defenses proactives. Els passos recomanats inclouen:

  • Restringint o desactivant el quadre de diàleg Executar de Windows sempre que sigui possible.
  • Realització de simulacions periòdiques de phishing i enginyeria social per entrenar els usuaris.
  • Implementació d'un registre i una supervisió robustos per detectar ràpidament execucions inusuals de PowerShell o scripts.

Centrant-se tant en la prevenció com en la detecció precoç, les organitzacions poden reduir significativament el risc que plantegen les campanyes que impliquen ClickFix i CORNFLAKE.V3.

Tendència

Més vist

Carregant...