CORNFLAKE.V3 Bagdør
Trusselaktører udnytter i stigende grad en vildledende teknik kendt som ClickFix til at distribuere en sofistikeret bagdør, CORNFLAKE.V3. Sikkerhedsforskere, der sporer aktiviteten, betegnet UNC5518, har knyttet den til en access-as-a-service-operation, hvor falske CAPTCHA-sider narrer ofre til at udføre ondsindede kommandoer. Når adgangen er opnået, videresælges den eller deles med andre cyberkriminelle grupper til yderligere udnyttelse.
Indholdsfortegnelse
Hvordan angrebet begynder
Infektionskæden starter ofte, når brugerne interagerer med SEO-forgiftede søgeresultater eller ondsindede annoncer. Ofrene omdirigeres til en falsk CAPTCHA-bekræftelsesside, der er designet til at ligne Cloudflares Turnstile eller andre legitime tjenester. I den tro, at de løser en verifikationsudfordring, bliver brugerne i stedet guidet til at kopiere og indsætte et ondsindet PowerShell-script i Windows' Kør-dialogboks, hvilket giver angriberne det fodfæste, de har brug for.
Trusselaktørens involvering
Den stjålne adgang fra UNC5518-kampagner er blevet udnyttet af mindst to forskellige grupper:
- UNC5774 – en økonomisk motiveret aktør, der leverer CORNFLAKE til at implementere yderligere nyttelast.
- UNC4108 – en gruppe med uklare motiver, observeret ved hjælp af PowerShell til at droppe malware som VOLTMARKER og NetSupport RAT.
Dette demonstrerer, hvordan ClickFix fungerer som en gateway for en række ondsindede opfølgningsaktiviteter.
Inde i CORNFLAKE.V3
CORNFLAKE.V3-bagdøren findes i både JavaScript- og PHP-varianter. Den er designet til at:
- Udfør forskellige nyttelaster via HTTP, herunder eksekverbare filer, DLL'er, JavaScript, batchfiler og PowerShell-kommandoer.
- Indsaml grundlæggende systemdata og send dem til en angriberkontrolleret server via Cloudflare-tunneler for at skjule dem.
I modsætning til sin forgænger V2, som kun fungerede som en downloader, introducerer V3 persistens ved at ændre Windows Registry Run-nøgler og understøtter en bredere vifte af nyttelast. Mindst tre nyttelast er blevet distribueret gennem den, herunder:
- Et Active Directory-rekognosceringsværktøj
- Et Kerberoasting-script til tyveri af legitimationsoplysninger
WINDYTWIST.SEA, en C-baseret bagdør med funktioner som reverse shell-adgang, TCP-trafikrelæ og lateral bevægelse
Hvorfor ClickFix er farligt
ClickFix-metoden har vundet frem i cyberkriminelle kredse, fordi den i høj grad er afhængig af menneskelig interaktion. Brugere manipuleres til selv at køre kommandoer og omgår dermed mange automatiserede sikkerhedsværktøjer. Almindelige leveringsvektorer omfatter:
- Phishing-e-mails
- Malvertising-kampagner
- Drive-by-hjemmesidekompromitteringer
For at øge troværdigheden udgiver angribere sig ofte for at være kendte brands, Cloudflare-tjek eller endda Discord-serververifikationer.
Kommercialisering af ClickFix-sæt
Siden slutningen af 2024 er ClickFix-byggere dukket op på undergrundsfora, markedsført som 'Win + R'-kits. Priserne varierer typisk fra $200 til $1.500 om måneden, afhængigt af funktionerne. Individuelle komponenter, såsom kildekode, landingssider eller kommandolinjescripts, sælges ofte separat for $200-$500.
Nogle avancerede kits kombinerer ClickFix-byggere med andre malware-loadere og tilbyder:
- Færdige landingssider med forskellige lokkemidler
- Kommandoer garanteret til at omgå antivirusdetektion
- Muligheder for vedholdenhed og SmartScreen-undgåelse
Forsvarsforanstaltninger
For at modvirke ClickFix-baserede infektioner bør organisationer implementere proaktive forsvarsmekanismer. Anbefalede trin omfatter:
- Begrænsning eller deaktivering af Windows Kør-dialogboksen, hvor det er muligt.
- Udførelse af regelmæssige phishing- og social engineering-simuleringer for at træne brugere.
- Implementering af robust logføring og overvågning for hurtigt at detektere usædvanlige PowerShell- eller script-udførelser.
Ved at fokusere på både forebyggelse og tidlig opdagelse kan organisationer reducere risikoen ved kampagner, der involverer ClickFix og CORNFLAKE.V3, betydeligt.
