درب پشتی CORNFLAKE.V3

عاملان تهدید به طور فزاینده‌ای از یک تکنیک فریبنده به نام ClickFix برای توزیع یک درب پشتی پیچیده، CORNFLAKE.V3، سوءاستفاده می‌کنند. محققان امنیتی که این فعالیت را با نام UNC5518 ردیابی می‌کنند، آن را به یک عملیات دسترسی به عنوان سرویس مرتبط دانسته‌اند که در آن صفحات جعلی CAPTCHA قربانیان را به اجرای دستورات مخرب ترغیب می‌کنند. پس از دستیابی به دسترسی، آن را برای سوءاستفاده بیشتر با سایر گروه‌های مجرمان سایبری دوباره می‌فروشند یا به اشتراک می‌گذارند.

چگونه حمله آغاز می‌شود

زنجیره آلودگی اغلب زمانی شروع می‌شود که کاربران با نتایج جستجوی آلوده به سئو یا تبلیغات مخرب تعامل می‌کنند. قربانیان به یک صفحه تأیید CAPTCHA جعلی هدایت می‌شوند که شبیه Turnstile کلودفلر یا سایر سرویس‌های قانونی طراحی شده است. کاربران با این باور که در حال حل یک چالش تأیید هستند، به کپی کردن و چسباندن یک اسکریپت مخرب PowerShell در کادر محاوره‌ای Windows Run هدایت می‌شوند و به مهاجمان جای پایی را که نیاز دارند، می‌دهند.

دخالت عامل تهدید

دسترسی سرقت‌شده از کمپین‌های UNC5518 توسط حداقل دو گروه مجزا مورد سوءاستفاده قرار گرفته است:

• UNC5774 - یک عامل با انگیزه مالی که CORNFLAKE را برای استقرار بارهای اضافی ارائه می‌دهد.
• UNC4108 - گروهی با انگیزه‌های نامشخص که مشاهده شده از PowerShell برای انتشار بدافزارهایی مانند VOLTMARKER و NetSupport RAT استفاده می‌کنند.

این نشان می‌دهد که چگونه ClickFix به عنوان دروازه‌ای برای انواع فعالیت‌های مخرب بعدی عمل می‌کند.

درون CORNFLAKE.V3

درب پشتی CORNFLAKE.V3 در هر دو نوع جاوا اسکریپت و PHP وجود دارد. این درب پشتی برای موارد زیر طراحی شده است:

• اجرای payloadهای مختلف از طریق HTTP، از جمله فایل‌های اجرایی، DLLها، جاوا اسکریپت، فایل‌های دسته‌ای و دستورات PowerShell.
• جمع‌آوری داده‌های اولیه سیستم و ارسال آن‌ها به سرور تحت کنترل مهاجم از طریق تونل‌های Cloudflare برای پنهان‌سازی.

برخلاف نسخه قبلی V2 که فقط به عنوان دانلودکننده عمل می‌کرد، V3 با تغییر کلیدهای رجیستری ویندوز، ماندگاری را معرفی می‌کند و از طیف وسیع‌تری از پیلودها پشتیبانی می‌کند. حداقل سه پیلود از طریق آن توزیع شده‌اند، از جمله:

• ابزاری برای شناسایی اکتیو دایرکتوری
• یک اسکریپت Kerberoasting برای سرقت اعتبارنامه‌ها

WINDYTWIST.SEA، یک درِ پشتی مبتنی بر زبان برنامه‌نویسی C با قابلیت‌هایی مانند دسترسی به پوسته معکوس، رله ترافیک TCP و حرکت جانبی

چرا کلیک‌فیکس خطرناک است؟

روش ClickFix در محافل جرایم سایبری محبوبیت زیادی پیدا کرده است زیرا به شدت به تعامل انسانی متکی است. کاربران با دور زدن بسیاری از ابزارهای امنیتی خودکار، وادار به اجرای دستورات توسط خودشان می‌شوند. بردارهای رایج انتقال شامل موارد زیر است:

• ایمیل‌های فیشینگ
• کمپین‌های تبلیغات مخرب
• سازش‌های وب‌سایت‌های Drive-by

برای افزایش اعتبار، مهاجمان اغلب هویت برندهای شناخته‌شده، بررسی‌های Cloudflare یا حتی تأییدیه‌های سرور Discord را جعل می‌کنند.

تجاری‌سازی کیت‌های ClickFix

از اواخر سال ۲۰۲۴، سازندگان ClickFix در انجمن‌های زیرزمینی ظاهر شده‌اند و به عنوان کیت‌های «Win + R» به بازار عرضه می‌شوند. قیمت‌ها معمولاً بسته به ویژگی‌ها، از ۲۰۰ تا ۱۵۰۰ دلار در ماه متغیر است. اجزای جداگانه، مانند کد منبع، صفحات فرود یا اسکریپت‌های خط فرمان، اغلب به طور جداگانه با قیمت ۲۰۰ تا ۵۰۰ دلار فروخته می‌شوند.

برخی از کیت‌های پیشرفته، سازندگان ClickFix را با سایر ابزارهای بارگذاری بدافزار ترکیب می‌کنند و موارد زیر را ارائه می‌دهند:

• صفحات فرود آماده با طعمه‌های مختلف
• دستوراتی که تضمین می‌کنند از شناسایی آنتی‌ویروس جلوگیری می‌کنند
• گزینه‌هایی برای ماندگاری و گریز از SmartScreen

اقدامات دفاعی

برای مقابله با آلودگی‌های مبتنی بر ClickFix، سازمان‌ها باید دفاع پیشگیرانه را اتخاذ کنند. مراحل پیشنهادی عبارتند از:

• محدود کردن یا غیرفعال کردن پنجره Run ویندوز در صورت امکان.
• انجام شبیه‌سازی‌های منظم فیشینگ و مهندسی اجتماعی برای آموزش کاربران.
• پیاده‌سازی ثبت وقایع و نظارت قوی برای تشخیص سریع اجرای غیرمعمول PowerShell یا اسکریپت.

با تمرکز بر پیشگیری و تشخیص زودهنگام، سازمان‌ها می‌توانند ریسک ناشی از کمپین‌های مربوط به ClickFix و CORNFLAKE.V3 را به میزان قابل توجهی کاهش دهند.