ClickFix Malware
En nylig malwaredistributionsstrategi anvender vildledende meddelelser, der ligner Google Chrome, Microsoft Word og OneDrive-fejl. Disse falske advarsler har til formål at narre brugere til at udføre truende PowerShell 'fixes', som i sidste ende installerer malware. Denne kampagne er blevet identificeret og brugt af forskellige trusselsaktører, inklusive dem, der er forbundet med ClearFake, en ny gruppe kendt som ClickFix, og den berygtede TA571-trusselsaktør. TA571 er kendt for sin rolle som spam-distributør, ansvarlig for at sprede store mængder af e-mails, der ofte fører til malware- og ransomware-infektioner.
Tidligere involverede ClearFake-angreb webstedsoverlejringer, der narrede besøgende til at installere malware ved at udgive sig for falske browseropdateringer.
Indholdsfortegnelse
Falske fejlalarmer kan levere malware-trusler
I de rapporterede angreb har trusselsaktører udvidet deres metoder til at omfatte JavaScript indlejret i HTML-vedhæftninger og kompromitterede websteder. Disse taktikker involverer nu overlejringer, der simulerer falske fejl fra Google Chrome, Microsoft Word og OneDrive. Disse vildledende advarsler opfordrer besøgende til at klikke på en knap for at kopiere en PowerShell 'fix' til deres udklipsholder, og instruere dem om at indsætte og udføre den enten i en Kør-dialog eller PowerShell-prompt.
Selvom denne angrebskæde er afhængig af betydelig brugerinteraktion, er dens sociale konstruktion sofistikeret nok til at præsentere brugerne for, hvad der ser ud til at være et ægte problem og en løsning på samme tid. Dette kan tvinge brugerne til at handle hurtigt uden at vurdere de tilknyttede risici fuldt ud. Infosec-forskere har identificeret adskillige nyttelaster brugt i disse angreb, inklusive DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , en udklipsholder, og Lumma Stealer .
Svigagtige scripts afgiver malware til brugernes enheder
Analytikere har identificeret tre forskellige angrebskæder, der primært er kendetegnet ved deres indledende stadier, hvor kun den første ikke er endeligt forbundet med TA571.
I dette første scenarie, forbundet med trusselsaktører forbundet til ClearFake, besøger brugere kompromitterede websteder, der indlæser ondsindede scripts, der er hostet på blockchain via Binances Smart Chain-kontrakter. Disse scripts udfører kontrol og udløser falske Google Chrome-advarsler, der påstår problemer med websidevisning. Dialogen beder derefter besøgende om at installere et 'rodcertifikat' ved at kopiere et PowerShell-script til Windows Udklipsholder og udføre det i en Windows PowerShell (Admin)-konsol.
Ved udførelse validerer PowerShell-scriptet målenheden. Det fortsætter med at udføre handlinger såsom at tømme DNS-cachen, rydde indholdet i udklipsholderen, vise en distraktionsmeddelelse og downloade et eksternt PowerShell-script. Dette script udfører til gengæld anti-VM-tjek, før download af en informationstjælende nyttelast påbegyndes.
ClickFix og Lure-e-mails bruges som alternative angrebskæder
Den anden angrebskæde er knyttet til 'ClickFix'-kampagnen, der bruger webstedsinjektioner på kompromitterede websteder til at skabe et iframe-overlay, der præsenterer en falsk Google Chrome-fejl. Brugere henvises til at åbne 'Windows PowerShell (Admin)' og indsætte den medfølgende kode, hvilket resulterer i de samme infektioner som tidligere nævnt.
En anden infektionsmetode involverer e-mail-baserede angreb ved hjælp af HTML-vedhæftede filer, der ligner Microsoft Word-dokumenter. Brugere bliver bedt om at installere 'Word Online'-udvidelsen for at se dokumentet korrekt. Fejlmeddelelsen viser mulighederne 'Sådan repareres' og 'Auto-fix'. Hvis du vælger 'Sådan repareres', kopieres en base64-kodet PowerShell-kommando til udklipsholderen og instruerer brugerne om at indsætte den i PowerShell. 'Auto-fix' anvender search-ms-protokollen til at vise en WebDAV-hostet 'fix.msi'- eller 'fix.vbs'-fil fra en ekstern angriberstyret fildeling. I disse tilfælde downloader og udfører PowerShell-kommandoerne enten en MSI-fil eller et VBS-script, hvilket fører til infektioner af henholdsvis Matanbuchus eller DarkGate.
Gennem disse angreb udnytter trusselsaktører brugernes manglende bevidsthed om de risici, der er forbundet med at udføre PowerShell-kommandoer på deres systemer. De udnytter også Windows' manglende evne til at opdage og forhindre de skadelige handlinger, der udløses af den indsatte kode.
De forskellige angrebskæder observeret af forskere indikerer, at TA571 aktivt udforsker forskellige metoder til at øge effektiviteten og opdage yderligere veje til at inficere et større antal systemer. Denne adaptive tilgang understreger cyberkriminelles forpligtelse til at udvikle deres taktik og udvide deres indflydelse inden for cybersikkerhedslandskabet.
