ClickFix Malware
Μια πρόσφατη στρατηγική διανομής κακόβουλου λογισμικού χρησιμοποιεί παραπλανητικές ειδοποιήσεις που μοιάζουν με σφάλματα Google Chrome, Microsoft Word και OneDrive. Αυτές οι ψεύτικες ειδοποιήσεις στοχεύουν να εξαπατήσουν τους χρήστες να εκτελέσουν απειλητικές «διορθώσεις» του PowerShell, οι οποίες τελικά εγκαθιστούν κακόβουλο λογισμικό. Αυτή η καμπάνια έχει εντοπιστεί και χρησιμοποιηθεί από διάφορους παράγοντες απειλών, συμπεριλαμβανομένων εκείνων που σχετίζονται με το ClearFake, μια νέα ομάδα γνωστή ως ClickFix και τον διαβόητο παράγοντα απειλών TA571. Το TA571 είναι γνωστό για το ρόλο του ως διανομέας ανεπιθύμητων μηνυμάτων, υπεύθυνος για τη διάδοση μεγάλου όγκου μηνυμάτων ηλεκτρονικού ταχυδρομείου που συχνά οδηγούν σε μολύνσεις από κακόβουλο λογισμικό και ransomware.
Προηγουμένως, οι επιθέσεις ClearFake περιλάμβαναν επικαλύψεις ιστότοπων που εξαπατούσαν τους επισκέπτες να εγκαταστήσουν κακόβουλο λογισμικό παρουσιάζοντας ως πλαστές ενημερώσεις προγράμματος περιήγησης.
Πίνακας περιεχομένων
Ψεύτικες ειδοποιήσεις σφάλματος ενδέχεται να προκαλέσουν απειλές κακόβουλου λογισμικού
Στις επιθέσεις που αναφέρθηκαν, οι παράγοντες απειλών έχουν επεκτείνει τις μεθόδους τους για να συμπεριλάβουν JavaScript ενσωματωμένη σε συνημμένα HTML και παραβιασμένους ιστότοπους. Αυτές οι τακτικές περιλαμβάνουν πλέον επικαλύψεις που προσομοιώνουν πλαστά σφάλματα από το Google Chrome, το Microsoft Word και το OneDrive. Αυτές οι παραπλανητικές ειδοποιήσεις παροτρύνουν τους επισκέπτες να κάνουν κλικ σε ένα κουμπί για να αντιγράψουν μια «διόρθωση» του PowerShell στο πρόχειρό τους, δίνοντάς τους εντολή να την επικολλήσουν και να την εκτελέσουν είτε σε ένα παράθυρο διαλόγου Εκτέλεση είτε σε μια προτροπή του PowerShell.
Ενώ αυτή η αλυσίδα επίθεσης βασίζεται σε σημαντική αλληλεπίδραση με τους χρήστες, η κοινωνική της μηχανική είναι αρκετά εξελιγμένη ώστε να παρουσιάζει στους χρήστες αυτό που φαίνεται να είναι γνήσιο πρόβλημα και λύση ταυτόχρονα. Αυτό μπορεί να αναγκάσει τους χρήστες να ενεργήσουν βιαστικά χωρίς να αξιολογήσουν πλήρως τους σχετικούς κινδύνους. Οι ερευνητές της Infosec έχουν εντοπίσει πολλά ωφέλιμα φορτία που χρησιμοποιούνται σε αυτές τις επιθέσεις, συμπεριλαμβανομένων των DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , ενός αεροπειρατή πρόχειρου και του Lumma Stealer .
Τα δόλια σενάρια ρίχνουν κακόβουλο λογισμικό στις συσκευές των χρηστών
Οι αναλυτές έχουν εντοπίσει τρεις διακριτές αλυσίδες επίθεσης που διακρίνονται κυρίως από τα αρχικά τους στάδια, με μόνο την πρώτη να μην συνδέεται οριστικά με το TA571.
Σε αυτό το πρώτο σενάριο, που σχετίζεται με παράγοντες απειλών που συνδέονται με το ClearFake, οι χρήστες επισκέπτονται παραβιασμένους ιστότοπους που φορτώνουν κακόβουλα σενάρια που φιλοξενούνται στο blockchain μέσω των συμβάσεων Smart Chain της Binance. Αυτά τα σενάρια πραγματοποιούν ελέγχους και ενεργοποιούν ψεύτικες ειδοποιήσεις του Google Chrome που ισχυρίζονται προβλήματα με την εμφάνιση ιστοσελίδων. Στη συνέχεια, το παράθυρο διαλόγου ζητά από τους επισκέπτες να εγκαταστήσουν ένα «πιστοποιητικό ρίζας» αντιγράφοντας ένα σενάριο PowerShell στο Πρόχειρο των Windows και εκτελώντας το σε μια κονσόλα Windows PowerShell (Διαχειριστής).
Κατά την εκτέλεση, το σενάριο PowerShell επικυρώνει τη συσκευή προορισμού. Προχωρά στην εκτέλεση ενεργειών όπως η έκπλυση της κρυφής μνήμης DNS, η εκκαθάριση των περιεχομένων του προχείρου, η εμφάνιση ενός μηνύματος απόσπασης της προσοχής και η λήψη ενός απομακρυσμένου σεναρίου PowerShell. Αυτό το σενάριο, με τη σειρά του, πραγματοποιεί ελέγχους anti-VM πριν ξεκινήσει τη λήψη ενός ωφέλιμου φορτίου που κλέβει πληροφορίες.
ClickFix και Lure emails που χρησιμοποιούνται ως εναλλακτικές αλυσίδες επίθεσης
Η δεύτερη αλυσίδα επίθεσης συνδέεται με την καμπάνια 'ClickFix', χρησιμοποιώντας ενέσεις ιστότοπου σε παραβιασμένους ιστότοπους για τη δημιουργία μιας επικάλυψης iframe που παρουσιάζει ένα ψεύτικο σφάλμα του Google Chrome. Οι χρήστες κατευθύνονται να ανοίξουν το "Windows PowerShell (Admin)" και να επικολλήσουν τον παρεχόμενο κώδικα, με αποτέλεσμα τις ίδιες μολύνσεις που αναφέρθηκαν προηγουμένως.
Μια άλλη μέθοδος μόλυνσης περιλαμβάνει επιθέσεις που βασίζονται σε email χρησιμοποιώντας συνημμένα HTML που μοιάζουν με έγγραφα του Microsoft Word. Ζητείται από τους χρήστες να εγκαταστήσουν την επέκταση «Word Online» για να προβάλουν σωστά το έγγραφο. Το μήνυμα σφάλματος παρέχει τις επιλογές «Τρόπος επιδιόρθωσης» και «Αυτόματη επιδιόρθωση». Επιλέγοντας «Τρόπος επιδιόρθωσης» αντιγράφει μια εντολή PowerShell με κωδικοποίηση base64 στο πρόχειρο, δίνοντας οδηγίες στους χρήστες να την επικολλήσουν στο PowerShell. Η "Αυτόματη επιδιόρθωση" χρησιμοποιεί το πρωτόκολλο search-ms για την εμφάνιση ενός αρχείου "fix.msi" ή "fix.vbs" που φιλοξενείται από το WebDAV από ένα κοινόχρηστο στοιχείο αρχείου που ελέγχεται από απομακρυσμένο εισβολέα. Σε αυτές τις περιπτώσεις, οι εντολές PowerShell κάνουν λήψη και εκτέλεση είτε ενός αρχείου MSI είτε ενός σεναρίου VBS, οδηγώντας σε μολύνσεις από το Matanbuchus ή το DarkGate, αντίστοιχα.
Καθ' όλη τη διάρκεια αυτών των επιθέσεων, οι παράγοντες απειλών εκμεταλλεύονται την έλλειψη επίγνωσης των χρηστών σχετικά με τους κινδύνους που σχετίζονται με την εκτέλεση εντολών PowerShell στα συστήματά τους. Αξιοποιούν επίσης την αδυναμία των Windows να ανιχνεύσει και να αποτρέψει τις επιβλαβείς ενέργειες που προκαλούνται από τον επικολλημένο κώδικα.
Οι ποικίλες αλυσίδες επίθεσης που παρατηρήθηκαν από τους ερευνητές υποδεικνύουν ότι το TA571 διερευνά ενεργά διάφορες μεθόδους για να ενισχύσει την αποτελεσματικότητα και να ανακαλύψει πρόσθετες οδούς για τη μόλυνση μεγαλύτερου αριθμού συστημάτων. Αυτή η προσαρμοστική προσέγγιση υπογραμμίζει τη δέσμευση των κυβερνοεγκληματιών να εξελίξουν τις τακτικές τους και να επεκτείνουν τον αντίκτυπό τους στο τοπίο της κυβερνοασφάλειας.
