Zadní vrátka CORNFLAKE.V3
Útočníci stále častěji zneužívají klamavou techniku známou jako ClickFix k distribuci sofistikovaného backdooru CORNFLAKE.V3. Bezpečnostní výzkumníci sledující tuto aktivitu s označením UNC5518 ji spojili s operací přístupu jako služby (AAS), kde falešné stránky CAPTCHA klamou oběti k provedení škodlivých příkazů. Jakmile je přístup získán, je dále prodán nebo sdílen s jinými kyberzločineckými skupinami k dalšímu zneužití.
Obsah
Jak útok začíná
Řetězec infekce často začíná, když uživatelé interagují s výsledky vyhledávání zmanipulovanými SEO nebo škodlivými reklamami. Oběti jsou přesměrovány na falešnou ověřovací stránku CAPTCHA, která má připomínat Turnstile od Cloudflare nebo jiné legitimní služby. Uživatelé, kteří se domnívají, že řeší ověřovací problém, jsou místo toho vedeni ke zkopírování a vložení škodlivého skriptu PowerShell do dialogového okna Spustit ve Windows, což útočníkům poskytuje potřebnou oporu.
Zapojení aktéra hrozby
Ukradený přístup z kampaní UNC5518 zneužily nejméně dvě odlišné skupiny:
- UNC5774 – finančně motivovaný aktér dodávající CORNFLAKE pro nasazení dodatečného užitečného zatížení.
- UNC4108 – skupina s nejasnými motivy, pozorovaná při používání PowerShellu k šíření malwaru, jako je VOLTMARKER a NetSupport RAT.
To ukazuje, jak ClickFix slouží jako brána pro různé škodlivé následné aktivity.
Uvnitř CORNFLAKE.V3
Backdoor CORNFLAKE.V3 existuje ve variantách JavaScript i PHP. Je navržen tak, aby:
- Spouštějte různé datové části přes HTTP, včetně spustitelných souborů, DLL, JavaScriptu, dávkových souborů a příkazů PowerShellu.
- Shromážděte základní systémová data a odešlete je na server ovládaný útočníkem prostřednictvím tunelů Cloudflare za účelem jejich utajení.
Na rozdíl od svého předchůdce V2, který fungoval pouze jako stahovací program, V3 zavádí perzistenci úpravou klíčů registru systému Windows a podporuje širší škálu datových částí. Prostřednictvím něj byly distribuovány nejméně tři datové části, včetně:
- Nástroj pro průzkum služby Active Directory
- Kerberoastingový skript pro krádež přihlašovacích údajů
WINDYTWIST.SEA, backdoor založený na jazyce C s funkcemi, jako je přístup k reverznímu shellu, přenos TCP provozu a laterální pohyb
Proč je ClickFix nebezpečný
Metoda ClickFix získala na popularitě v kruzích kyberzločinců, protože se silně spoléhá na lidskou interakci. Uživatelé jsou manipulováni, aby sami spouštěli příkazy, čímž obcházejí mnoho automatizovaných bezpečnostních nástrojů. Mezi běžné vektory doručení patří:
- Phishingové e-maily
- Škodlivé reklamní kampaně
- Kompromitace webových stránek typu drive-by
Aby zvýšili důvěryhodnost, útočníci se často vydávají za známé značky, kontroly Cloudflare nebo dokonce ověření serverů Discordu.
Komercializace sad ClickFix
Od konce roku 2024 se na undergroundových fórech objevují sady ClickFix, které jsou prodávány jako sady „Win + R“. Ceny se obvykle pohybují od 200 do 1 500 dolarů měsíčně v závislosti na funkcích. Jednotlivé komponenty, jako je zdrojový kód, vstupní stránky nebo skripty příkazového řádku, se často prodávají samostatně za 200–500 dolarů.
Některé pokročilé sady spojují nástroje pro tvorbu ClickFix s dalšími zavaděči malwaru a nabízejí:
- Hotové vstupní stránky s různými lákadly
- Příkazy zaručeně obejdou antivirovou detekci
- Možnosti pro perzistenci a vyhýbání se SmartScreen
Obranná opatření
Aby organizace mohly čelit infekcím založeným na ClickFixu, měly by zavést proaktivní obranu. Mezi doporučené kroky patří:
- Omezení nebo zakázání dialogového okna Spustit ve Windows, kde je to proveditelné.
- Provádění pravidelných simulací phishingu a sociálního inženýrství za účelem školení uživatelů.
- Implementace robustního protokolování a monitorování pro rychlou detekci neobvyklého spuštění PowerShellu nebo skriptů.
Zaměřením se na prevenci i včasnou detekci mohou organizace výrazně snížit riziko, které představují kampaně zahrnující ClickFix a CORNFLAKE.V3.
