ClickFix Malware
Viimeaikainen haittaohjelmien jakelustrategia käyttää petollisia ilmoituksia, jotka muistuttavat Google Chromen, Microsoft Wordin ja OneDriven virheitä. Nämä väärennetyt hälytykset pyrkivät huijaamaan käyttäjiä suorittamaan uhkaavia PowerShell-korjauksia, jotka lopulta asentavat haittaohjelmia. Tämän kampanjan ovat tunnistaneet ja käyttäneet useat uhkatekijät, mukaan lukien ClearFakeen, uuteen ClickFix-nimiseen ryhmään, ja pahamaineiseen TA571-uhkatekijään liittyvät. TA571 tunnetaan roolistaan roskapostin jakelijana, joka on vastuussa suurten sähköpostimäärien levittämisestä, jotka usein johtavat haittaohjelmiin ja kiristysohjelmiin.
Aiemmin ClearFake-hyökkäykset sisälsivät verkkosivustojen peittokuvia, jotka huijasivat vierailijat asentamaan haittaohjelmia esittämällä väärennettyjä selainpäivityksiä.
Sisällysluettelo
Väärennetyt virheilmoitukset voivat aiheuttaa haittaohjelmia
Raportoiduissa hyökkäyksissä uhkatoimijat ovat laajentaneet menetelmiään HTML-liitteisiin upotettuun JavaScriptiin ja vaarantuneisiin verkkosivustoihin. Nämä taktiikat sisältävät nyt peittokuvia, jotka simuloivat väärennettyjä virheitä Google Chromesta, Microsoft Wordista ja OneDrivesta. Nämä harhaanjohtavat hälytykset kehottavat kävijöitä napsauttamaan painiketta ja kopioimaan PowerShell-korjauksen leikepöydälle ja käskevät heitä liittämään ja suorittamaan sen joko Suorita-valintaikkunassa tai PowerShell-kehotteessa.
Vaikka tämä hyökkäysketju perustuu merkittävään käyttäjien vuorovaikutukseen, sen sosiaalinen suunnittelu on tarpeeksi kehittynyttä esittelemään käyttäjille aidolta ongelman ja ratkaisun samanaikaisesti. Tämä voi pakottaa käyttäjät toimimaan hätäisesti arvioimatta täysin siihen liittyviä riskejä. Infosecin tutkijat ovat tunnistaneet useita näissä hyökkäyksissä käytettyjä hyötykuormia, mukaan lukien DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , leikepöydän kaappaaja ja Lumma Stealer .
Vilpilliset komentosarjat pudottavat haittaohjelmia käyttäjien laitteisiin
Analyytikot ovat tunnistaneet kolme erillistä hyökkäysketjua, jotka erottuvat ensisijaisesti alkuvaiheistaan, joista vain ensimmäinen ei ole lopullisesti liitetty TA571:een.
Tässä ensimmäisessä skenaariossa, joka liittyy ClearFakeen liitettyihin uhkatoimijoihin, käyttäjät vierailevat vaarantuneilla verkkosivustoilla, jotka lataavat lohkoketjussa isännöityjä haitallisia komentosarjoja Binancen Smart Chain -sopimusten kautta. Nämä komentosarjat suorittavat tarkastuksia ja käynnistävät väärennettyjä Google Chrome -hälytyksiä, joissa väitetään olevan Web-sivun näyttöön liittyviä ongelmia. Valintaikkuna kehottaa sitten vierailijoita asentamaan "juurivarmenteen" kopioimalla PowerShell-komentosarjan Windowsin leikepöydälle ja suorittamalla sen Windows PowerShell (Admin) -konsolissa.
Suorituksen jälkeen PowerShell-komentosarja vahvistaa kohdelaitteen. Se jatkaa toimien suorittamista, kuten DNS-välimuistin tyhjentämistä, leikepöydän sisällön tyhjentämistä, häiriösanoman näyttämistä ja PowerShell-etäkomentosarjan lataamista. Tämä komentosarja puolestaan suorittaa anti-VM-tarkistuksia ennen tietojen varastamisen hyötykuorman latauksen aloittamista.
Vaihtoehtoisina hyökkäysketjuina käytettyjä ClickFix- ja houkuttelevia sähköpostiviestejä
Toinen hyökkäysketju on linkitetty "ClickFix"-kampanjaan, joka hyödyntää verkkosivustojen lisäyksiä vaarantuneille sivustoille luodakseen iframe-peittokuvan, joka esittää väärennetyn Google Chrome -virheen. Käyttäjiä ohjataan avaamaan "Windows PowerShell (Admin)" ja liittämään toimitettu koodi, mikä johtaa samoihin aiemmin mainittuihin infektioihin.
Toinen tartuntatapa sisältää sähköpostipohjaiset hyökkäykset käyttämällä Microsoft Word -asiakirjoja muistuttavia HTML-liitteitä. Käyttäjiä kehotetaan asentamaan Word Online -laajennus nähdäkseen asiakirjan oikein. Virheviestissä on vaihtoehdot "Kuinka korjata" ja "Automaattinen korjaus". Korjausohjeen valitseminen kopioi base64-koodatun PowerShell-komennon leikepöydälle ja kehottaa käyttäjiä liittämään sen PowerShelliin. 'Auto-fix' käyttää search-ms-protokollaa WebDAV-isännöimän fix.msi- tai fix.vbs-tiedoston näyttämiseen etähyökkääjän ohjaamasta jaetusta tiedostosta. Näissä tapauksissa PowerShell-komennot lataavat ja suorittavat joko MSI-tiedoston tai VBS-komentosarjan, mikä johtaa Matanbuchus- tai DarkGate-infektioihin.
Kaikkien näiden hyökkäysten aikana uhkatoimijat käyttävät hyväkseen käyttäjien tietämättömyyttä riskeistä, jotka liittyvät PowerShell-komentojen suorittamiseen järjestelmissään. Ne hyödyntävät myös Windowsin kyvyttömyyttä havaita ja estää liitetyn koodin aiheuttamia haitallisia toimia.
Tutkijoiden havaitsemat vaihtelevat hyökkäysketjut osoittavat, että TA571 tutkii aktiivisesti erilaisia menetelmiä tehostaakseen tehokkuutta ja löytääkseen uusia reittejä useiden järjestelmien tartuttamiseen. Tämä mukautuva lähestymistapa korostaa kyberrikollisten sitoutumista taktiikoidensa kehittämiseen ja vaikutuksensa laajentamiseen kyberturvallisuusympäristössä.
