Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό CORNFLAKE.V3 Πίσω πόρτα

CORNFLAKE.V3 Πίσω πόρτα

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT), Backdoors
Μετάφραση σε:

Οι απειλητικοί παράγοντες εκμεταλλεύονται ολοένα και περισσότερο μια παραπλανητική τεχνική γνωστή ως ClickFix για να διανείμουν μια εξελιγμένη κερκόπορτα, το CORNFLAKE.V3. Οι ερευνητές ασφαλείας που παρακολουθούν τη δραστηριότητα, με την ονομασία UNC5518, την έχουν συνδέσει με μια λειτουργία πρόσβασης ως υπηρεσίας όπου ψεύτικες σελίδες CAPTCHA ξεγελούν τα θύματα ώστε να εκτελούν κακόβουλες εντολές. Μόλις αποκτηθεί πρόσβαση, μεταπωλείται ή κοινοποιείται σε άλλες ομάδες κυβερνοεγκληματιών για περαιτέρω εκμετάλλευση.

Πώς Ξεκινά η Επίθεση

Η αλυσίδα μόλυνσης συχνά ξεκινά όταν οι χρήστες αλληλεπιδρούν με αποτελέσματα αναζήτησης που έχουν μολυνθεί από SEO ή κακόβουλες διαφημίσεις. Τα θύματα ανακατευθύνονται σε μια ψεύτικη σελίδα επαλήθευσης CAPTCHA, σχεδιασμένη να μοιάζει με το Turnstile του Cloudflare ή άλλες νόμιμες υπηρεσίες. Πιστεύοντας ότι λύνουν μια πρόκληση επαλήθευσης, οι χρήστες καθοδηγούνται να αντιγράψουν και να επικολλήσουν ένα κακόβουλο σενάριο PowerShell στο παράθυρο διαλόγου Εκτέλεση των Windows, δίνοντας στους εισβολείς το έρεισμα που χρειάζονται.

Εμπλοκή Απειλητικών Παράγοντων

Η κλεμμένη πρόσβαση από τις καμπάνιες UNC5518 έχει αξιοποιηθεί από τουλάχιστον δύο ξεχωριστές ομάδες:

  • UNC5774 – ένας οικονομικά κίνητρο που παραδίδει το CORNFLAKE για την ανάπτυξη πρόσθετων ωφέλιμων φορτίων.
  • UNC4108 – μια ομάδα με ασαφή κίνητρα, που παρατηρήθηκε να χρησιμοποιεί το PowerShell για την απόρριψη κακόβουλου λογισμικού όπως το VOLTMARKER και το NetSupport RAT.

Αυτό καταδεικνύει πώς το ClickFix χρησιμεύει ως πύλη για μια ποικιλία κακόβουλων δραστηριοτήτων παρακολούθησης.

Μέσα στο CORNFLAKE.V3

Το backdoor CORNFLAKE.V3 υπάρχει σε παραλλαγές JavaScript και PHP. Έχει σχεδιαστεί για να:

  • Εκτελέστε διαφορετικά ωφέλιμα φορτία μέσω HTTP, συμπεριλαμβανομένων εκτελέσιμων αρχείων, DLL, JavaScript, αρχείων δέσμης και εντολών PowerShell.
  • Συγκεντρώστε βασικά δεδομένα συστήματος και στείλτε τα σε έναν διακομιστή που ελέγχεται από εισβολείς μέσω σηράγγων Cloudflare για απόκρυψη.

Σε αντίθεση με τον προκάτοχό του V2, ο οποίος λειτουργούσε μόνο ως πρόγραμμα λήψης, το V3 εισάγει την persistence τροποποιώντας τα κλειδιά Run του Μητρώου των Windows και υποστηρίζει ένα ευρύτερο φάσμα ωφέλιμων φορτίων. Τουλάχιστον τρία ωφέλιμα φορτία έχουν διανεμηθεί μέσω αυτού, συμπεριλαμβανομένων:

  • Ένα εργαλείο αναγνώρισης της Active Directory
  • Ένα σενάριο Kerberoasting για κλοπή διαπιστευτηρίων

WINDYTWIST.SEA, ένα backdoor που βασίζεται σε C με δυνατότητες όπως πρόσβαση σε αντίστροφο κέλυφος, αναμετάδοση κίνησης TCP και πλευρική κίνηση

Γιατί το ClickFix είναι επικίνδυνο

Η μέθοδος ClickFix έχει κερδίσει έδαφος στους κύκλους των εγκληματιών στον κυβερνοχώρο επειδή βασίζεται σε μεγάλο βαθμό στην ανθρώπινη αλληλεπίδραση. Οι χρήστες χειραγωγούνται ώστε να εκτελούν οι ίδιοι εντολές, παρακάμπτοντας πολλά αυτοματοποιημένα εργαλεία ασφαλείας. Συνήθεις φορείς παράδοσης περιλαμβάνουν:

  • Ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing)
  • Καμπάνιες κακόβουλης διαφήμισης
  • Παραβιάσεις ιστοσελίδων drive-by

Για να αυξήσουν την αξιοπιστία τους, οι εισβολείς συχνά μιμούνται γνωστές μάρκες, ελέγχους Cloudflare ή ακόμα και επαληθεύσεις διακομιστών Discord.

Εμπορευματοποίηση των κιτ ClickFix

Από τα τέλη του 2024, οι κατασκευαστές ClickFix εμφανίζονται σε υπόγεια φόρουμ, διαφημιζόμενοι ως κιτ «Win + R». Οι τιμές κυμαίνονται συνήθως από 200 έως 1.500 δολάρια το μήνα, ανάλογα με τις δυνατότητες. Τα μεμονωμένα στοιχεία, όπως ο πηγαίος κώδικας, οι σελίδες προορισμού ή τα σενάρια γραμμής εντολών, πωλούνται συχνά ξεχωριστά για 200-500 δολάρια.

Ορισμένα προηγμένα κιτ συνδυάζουν τα ClickFix builders με άλλα προγράμματα φόρτωσης κακόβουλου λογισμικού και προσφέρουν:

  • Έτοιμες σελίδες προορισμού με διαφορετικά δολώματα
  • Εντολές που εγγυώνται παράκαμψη της ανίχνευσης ιών
  • Επιλογές για persistence και SmartScreen escape

Αμυντικά μέτρα

Για την αντιμετώπιση των μολύνσεων που βασίζονται στο ClickFix, οι οργανισμοί θα πρέπει να υιοθετήσουν προληπτικά μέτρα άμυνας. Τα προτεινόμενα βήματα περιλαμβάνουν:

  • Περιορισμός ή απενεργοποίηση του παραθύρου διαλόγου Εκτέλεση των Windows, όπου είναι εφικτό.
  • Διεξαγωγή τακτικών προσομοιώσεων ηλεκτρονικού "ψαρέματος" (phishing) και κοινωνικής μηχανικής για την εκπαίδευση των χρηστών.
  • Εφαρμογή ισχυρής καταγραφής και παρακολούθησης για την ταχεία ανίχνευση ασυνήθιστων εκτελέσεων PowerShell ή σεναρίων.

Εστιάζοντας τόσο στην πρόληψη όσο και στην έγκαιρη ανίχνευση, οι οργανισμοί μπορούν να μειώσουν σημαντικά τον κίνδυνο που ενέχουν οι καμπάνιες που περιλαμβάνουν το ClickFix και το CORNFLAKE.V3.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
36,025
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...