ClickFix Malware
Hiljutine pahavara levitamisstrateegia kasutab petlikke teatisi, mis meenutavad Google Chrome'i, Microsoft Wordi ja OneDrive'i vigu. Nende võltsmärguannete eesmärk on petta kasutajaid ähvardavate PowerShelli paranduste tegemiseks, mis lõpuks installivad pahavara. Selle kampaania on tuvastanud ja kasutanud mitmed ohus osalejad, sealhulgas need, kes on seotud ClearFake'iga, uue rühmaga, mida tuntakse nimega ClickFix, ja kurikuulsa TA571 ohutegijaga. TA571 on tuntud oma rolli poolest rämpsposti levitajana, kes vastutab suurte e-kirjade levitamise eest, mis sageli põhjustavad pahavara ja lunavara nakatumist.
Varem hõlmasid ClearFake'i rünnakud veebisaitide ülekatteid, mis meelitasid külastajaid võltsitud brauseri värskendustena esinedes pahavara installima.
Sisukord
Võltsitud veahoiatused võivad põhjustada pahavaraohtu
Teatatud rünnakutes on ohus osalejad laiendanud oma meetodeid, et hõlmata HTML-i manustesse manustatud JavaScripti ja ohustatud veebisaite. Need taktikad hõlmavad nüüd ülekatteid, mis simuleerivad Google Chrome'i, Microsoft Wordi ja OneDrive'i võltsitud vigu. Need petlikud hoiatused kutsuvad külastajaid klõpsama nuppu, et kopeerida PowerShelli parandus oma lõikepuhvrisse, andes neile korralduse see kleepida ja käivitada kas Käivita dialoogis või PowerShelli viibas.
Kuigi see ründeahel tugineb olulisel määral kasutaja interaktsioonile, on selle sotsiaalne korraldus piisavalt arenenud, et pakkuda kasutajatele tõelist probleemi ja lahendust üheaegselt. See võib sundida kasutajaid tegutsema kiirustades ilma kaasnevaid riske täielikult hindamata. Infoseci teadlased on tuvastanud mitu nendes rünnakutes kasutatud kasulikku koormust, sealhulgas DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , lõikelaua kaaperdaja ja Lumma Stealer .
Petturlikud skriptid viivad pahavara kasutajate seadmetesse
Analüütikud on tuvastanud kolm erinevat ründeahelat, mis eristuvad peamiselt nende algstaadiumis, millest ainult esimene pole lõplikult seotud TA571-ga.
Selle esimese stsenaariumi korral, mis on seotud ClearFake'iga ühendatud ohutegijatega, külastavad kasutajad ohustatud veebisaite, mis laadivad Binance'i nutika ahela lepingute kaudu plokiahelas hostitud pahatahtlikke skripte. Need skriptid viivad läbi kontrolle ja käivitavad võltsitud Google Chrome'i hoiatusi, mis väidavad, et on probleeme veebilehe kuvamisega. Seejärel palub dialoog külastajatel installida juursertifikaat, kopeerides PowerShelli skripti Windowsi lõikelauale ja käivitades selle Windows PowerShelli (administraatori) konsoolis.
Täitmisel valideerib PowerShelli skript sihtseadme. See jätkab selliste toimingute sooritamist nagu DNS-i vahemälu tühjendamine, lõikepuhvri sisu tühjendamine, tähelepanu hajutamise teate kuvamine ja PowerShelli kaugskripti allalaadimine. See skript viib omakorda läbi VM-i vastased kontrollid enne teabevarastava kasuliku koormuse allalaadimise alustamist.
Alternatiivsete rünnakuahelatena kasutatavad ClickFixi ja meelitamise e-kirjad
Teine ründeahel on seotud kampaaniaga „ClickFix”, mis kasutab veebisaitide süstimist ohustatud saitidele, et luua iframe'i ülekate, mis näitab võlts Google Chrome'i viga. Kasutajad suunatakse avama "Windows PowerShell (Admin)" ja kleepima esitatud koodi, mille tulemuseks on samad nakkused, mida eespool mainitud.
Teine nakatumismeetod hõlmab meilipõhiseid rünnakuid, kasutades Microsoft Wordi dokumente meenutavaid HTML-manuseid. Dokumendi õigeks vaatamiseks palutakse kasutajatel installida laiendus "Word Online". Veateade sisaldab valikuid „Kuidas parandada” ja „Automaatne parandamine”. Kui valite „Kuidas parandada”, kopeeritakse base64-kodeeringuga PowerShelli käsk lõikelauale, andes kasutajatele käsu see PowerShelli kleepida. Automaatne parandus kasutab kaugründaja poolt juhitava failijagamise kaudu WebDAV-hostitud faili fix.msi või fix.vbs kuvamiseks protokolli search-ms. Nendel juhtudel laadivad PowerShelli käsud alla ja käivitavad kas MSI-faili või VBS-skripti, mis viib vastavalt Matanbuchuse või DarkGate'i nakatumiseni.
Nende rünnakute ajal kasutavad ohus osalejad ära kasutajate puudulikku teadlikkust riskidest, mis on seotud nende süsteemides PowerShelli käskude täitmisega. Need kasutavad ära ka Windowsi suutmatust tuvastada ja ära hoida kleebitud koodi poolt käivitatud kahjulikke toiminguid.
Teadlaste täheldatud mitmekesised rünnakuahelad näitavad, et TA571 uurib aktiivselt erinevaid meetodeid, et suurendada tõhusust ja avastada täiendavaid teid suurema hulga süsteemide nakatamiseks. See adaptiivne lähenemine rõhutab küberkurjategijate pühendumust oma taktikate arendamisele ja oma mõju suurendamisele küberjulgeoleku maastikul.
