ClickFix Malware

یک استراتژی اخیر توزیع بدافزار از اعلان‌های فریبنده مشابه خطاهای Google Chrome، Microsoft Word و OneDrive استفاده می‌کند. هدف این هشدارهای جعلی فریب کاربران برای اجرای «رفع‌های» تهدیدآمیز PowerShell است که در نهایت بدافزار را نصب می‌کند. این کمپین توسط عوامل تهدید مختلف، از جمله عوامل مرتبط با ClearFake، یک گروه جدید به نام ClickFix، و عامل تهدید بدنام TA571 شناسایی و استفاده شده است. TA571 به دلیل نقش خود به عنوان توزیع کننده هرزنامه، مسئول انتشار حجم زیادی از ایمیل ها که اغلب منجر به آلودگی بدافزار و باج افزار می شود، شناخته شده است.

پیش از این، حملات ClearFake شامل پوشش‌های وب‌سایتی بود که بازدیدکنندگان را فریب می‌داد تا با ظاهر کردن به‌روزرسانی‌های جعلی مرورگر، بدافزار نصب کنند.

هشدارهای خطای جعلی ممکن است تهدیدات بدافزاری را به همراه داشته باشد

در حملات گزارش شده، عوامل تهدید روش های خود را گسترش داده اند تا جاوا اسکریپت تعبیه شده در پیوست های HTML و وب سایت های در معرض خطر را شامل شود. این تاکتیک‌ها اکنون شامل پوشش‌هایی هستند که خطاهای جعلی Google Chrome، Microsoft Word و OneDrive را شبیه‌سازی می‌کنند. این هشدارهای فریبنده بازدیدکنندگان را ترغیب می‌کند تا روی دکمه‌ای کلیک کنند تا «اصلاح» PowerShell را در کلیپ‌بورد خود کپی کنند و به آن‌ها دستور می‌دهد که آن را در یک گفتگوی Run یا PowerShell پیست و اجرا کنند.

در حالی که این زنجیره حمله به تعامل قابل توجه کاربر متکی است، مهندسی اجتماعی آن به اندازه کافی پیچیده است که به طور همزمان چیزی را که به نظر می رسد یک مشکل و راه حل واقعی است به کاربران ارائه دهد. این می‌تواند کاربران را وادار کند تا بدون ارزیابی کامل ریسک‌های مرتبط، عجولانه عمل کنند. محققان Infosec چندین بار مورد استفاده در این حملات را شناسایی کرده‌اند، از جمله DarkGate ، Matanbuchus ، NetSupport ، Amadey Loader ، XMRig ، یک رباینده کلیپ‌بورد و Lumma Stealer .

اسکریپت های تقلبی بدافزار را به دستگاه های کاربران رها می کنند

تحلیلگران سه زنجیره حمله متمایز را شناسایی کرده‌اند که عمدتاً با مراحل اولیه‌شان متمایز می‌شوند و تنها اولین آنها به طور قطعی با TA571 مرتبط نیست.

در این سناریوی اول، مرتبط با عوامل تهدید متصل به ClearFake، کاربران از وب‌سایت‌های در معرض خطر بازدید می‌کنند که اسکریپت‌های مخرب میزبانی شده روی بلاک چین را از طریق قراردادهای زنجیره هوشمند Binance بارگیری می‌کنند. این اسکریپت‌ها بررسی‌ها را انجام می‌دهند و هشدارهای جعلی Google Chrome را برای ادعای مشکلات نمایش صفحه وب راه‌اندازی می‌کنند. سپس این گفتگو از بازدیدکنندگان می خواهد که با کپی کردن یک اسکریپت PowerShell در کلیپ بورد ویندوز و اجرای آن در یک کنسول Windows PowerShell (Admin) یک "گواهی ریشه" را نصب کنند.

پس از اجرا، اسکریپت PowerShell دستگاه مورد نظر را تأیید می کند. این برنامه اقداماتی مانند شستشوی حافظه پنهان DNS، پاک کردن محتوای کلیپ بورد، نمایش یک پیام حواس پرتی و دانلود یک اسکریپت PowerShell از راه دور را انجام می دهد. این اسکریپت، به نوبه خود، قبل از شروع دانلود یک محموله سرقت اطلاعات، بررسی های ضد VM را انجام می دهد.

ایمیل های کلیک فیکس و فریب که به عنوان زنجیره های حمله جایگزین استفاده می شوند

دومین زنجیره حمله به کمپین «ClickFix» مرتبط است و از تزریق وب سایت در سایت‌های در معرض خطر برای ایجاد یک پوشش iframe که خطای جعلی Google Chrome را ارائه می‌کند، استفاده می‌کند. به کاربران هدایت می‌شود تا «Windows PowerShell (Admin)» را باز کرده و کد ارائه‌شده را جای‌گذاری کنند، که در نتیجه همان عفونت‌هایی را که قبلاً ذکر شد، ایجاد می‌کند.

روش دیگر عفونت شامل حملات مبتنی بر ایمیل با استفاده از پیوست های HTML شبیه اسناد مایکروسافت ورد است. از کاربران خواسته می شود برای مشاهده صحیح سند، پسوند "Word Online" را نصب کنند. پیغام خطا گزینه‌های «نحوه رفع» و «اصلاح خودکار» را ارائه می‌کند. انتخاب «نحوه رفع مشکل» یک فرمان PowerShell با کد base64 را در کلیپ بورد کپی می کند و به کاربران دستور می دهد آن را در PowerShell جای گذاری کنند. «اصلاح خودکار» از پروتکل search-ms برای نمایش فایل «fix.msi» یا «fix.vbs» میزبان WebDAV از یک اشتراک‌گذاری فایل کنترل‌شده توسط مهاجم از راه دور استفاده می‌کند. در این موارد، دستورات PowerShell یک فایل MSI یا یک اسکریپت VBS را دانلود و اجرا می کند که به ترتیب منجر به آلودگی توسط Matanbuchus یا DarkGate می شود.

در طول این حملات، عوامل تهدید از عدم آگاهی کاربران در مورد خطرات مرتبط با اجرای دستورات PowerShell بر روی سیستم های خود سوء استفاده می کنند. آنها همچنین از ناتوانی ویندوز در شناسایی و جلوگیری از اقدامات مضر ناشی از کد چسبانده شده استفاده می کنند.

زنجیره های حمله متنوع مشاهده شده توسط محققان نشان می دهد که TA571 به طور فعال در حال بررسی روش های متنوع برای افزایش کارایی و کشف مسیرهای اضافی برای آلوده کردن تعداد بیشتری از سیستم ها است. این رویکرد تطبیقی بر تعهد مجرمان سایبری به تکامل تاکتیک‌های خود و گسترش تأثیر آنها در چشم‌انداز امنیت سایبری تأکید می‌کند.