ClickFix Malware
Nedávná strategie distribuce malwaru využívá klamavá oznámení připomínající chyby Google Chrome, Microsoft Word a OneDrive. Cílem těchto falešných výstrah je oklamat uživatele, aby provedli ohrožující „opravy“ PowerShellu, které nakonec nainstalují malware. Tato kampaň byla identifikována a používána různými aktéry hrozeb, včetně těch, kteří jsou spojeni s ClearFake, novou skupinou známou jako ClickFix, a notoricky známým aktérem hrozeb TA571. TA571 je známá svou rolí distributora spamu, který je zodpovědný za šíření velkého množství e-mailů, které často vedou k malwarovým a ransomwarovým infekcím.
Dříve se útoky ClearFake týkaly překryvných webových stránek, které přiměly návštěvníky k instalaci malwaru tím, že se vydávaly za falešné aktualizace prohlížeče.
Obsah
Falešná chybová upozornění mohou přinášet malwarové hrozby
V hlášených útocích aktéři hrozeb rozšířili své metody tak, aby zahrnovaly JavaScript vložený do příloh HTML a kompromitované webové stránky. Tyto taktiky nyní zahrnují překryvy, které simulují falešné chyby z Google Chrome, Microsoft Word a OneDrive. Tato klamavá upozornění nabádají návštěvníky, aby kliknutím na tlačítko zkopírovali „opravu“ PowerShellu do schránky a dali jim pokyn, aby ji vložili a provedli buď v dialogovém okně Spustit, nebo ve výzvě PowerShellu.
Zatímco tento řetězec útoků spoléhá na významnou interakci uživatele, jeho sociální inženýrství je dostatečně sofistikované, aby uživatelům představilo to, co se zdá být skutečným problémem a řešením současně. To může uživatele donutit jednat ukvapeně, aniž by plně vyhodnotili související rizika. Výzkumníci společnosti Infosec identifikovali několik užitečných zátěží používaných při těchto útocích, včetně DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , únosce schránky a Lumma Stealer .
Podvodné skripty vypouštějí malware do zařízení uživatelů
Analytici identifikovali tři odlišné řetězce útoků, které se primárně liší podle počátečních fází, přičemž pouze první není definitivně spojen s TA571.
V tomto prvním scénáři, spojeném s aktéry hrozeb připojenými k ClearFake, uživatelé navštíví kompromitované webové stránky, které načítají škodlivé skripty hostované na blockchainu prostřednictvím smluv Smart Chain společnosti Binance. Tyto skripty provádějí kontroly a spouštějí falešná upozornění Google Chrome upozorňující na problémy se zobrazením webové stránky. Dialogové okno poté vyzve návštěvníky, aby si nainstalovali „kořenový certifikát“ zkopírováním skriptu PowerShell do schránky Windows a jeho spuštěním v konzole Windows PowerShell (Admin).
Po spuštění skript PowerShell ověří cílové zařízení. Pokračuje v provádění akcí, jako je vyprázdnění mezipaměti DNS, vymazání obsahu schránky, zobrazení zprávy o rozptýlení a stažení vzdáleného skriptu PowerShellu. Tento skript na oplátku provádí anti-VM kontroly před zahájením stahování dat, která kradou informace.
ClickFix a Lure e-maily používané jako alternativní útočné řetězce
Druhý řetězec útoků je spojen s kampaní „ClickFix“, která využívá vkládání webových stránek na napadené stránky k vytvoření překryvného prvku iframe představující falešnou chybu Google Chrome. Uživatelé jsou přesměrováni, aby otevřeli „Windows PowerShell (Admin)“ a vložili poskytnutý kód, což má za následek stejné infekce, které byly zmíněny dříve.
Další metoda infekce zahrnuje útoky založené na e-mailech pomocí příloh HTML připomínajících dokumenty Microsoft Word. Uživatelé jsou vyzváni, aby si nainstalovali rozšíření 'Word Online', aby mohli dokument správně zobrazit. Chybová zpráva obsahuje možnosti „Jak opravit“ a „Automatická oprava“. Výběrem možnosti „Jak opravit“ se do schránky zkopíruje příkaz PowerShell zakódovaný v base64 a dá uživatelům pokyn, aby jej vložili do prostředí PowerShell. 'Auto-fix' využívá protokol search-ms k zobrazení souboru 'fix.msi' nebo 'fix.vbs' hostovaného WebDAV ze sdílené složky kontrolované vzdáleným útočníkem. V těchto případech příkazy PowerShellu stahují a spouštějí buď soubor MSI nebo skript VBS, což vede k infekcím Matanbuchus nebo DarkGate.
Během těchto útoků aktéři hrozeb využívají nedostatečné povědomí uživatelů o rizicích spojených s prováděním příkazů PowerShellu v jejich systémech. Využívají také neschopnost systému Windows detekovat škodlivé akce vyvolané vloženým kódem a zabránit jim.
Různorodé útočné řetězce pozorované výzkumníky naznačují, že TA571 aktivně zkoumá různé metody ke zvýšení účinnosti a objevování dalších cest pro infikování většího počtu systémů. Tento adaptivní přístup podtrhuje odhodlání kyberzločinců vyvíjet jejich taktiku a rozšiřovat svůj dopad v prostředí kybernetické bezpečnosti.
