ClickFix Malware
אסטרטגיית הפצת תוכנות זדוניות לאחרונה משתמשת בהתראות מטעות הדומות לשגיאות של Google Chrome, Microsoft Word ו-OneDrive. ההתראות המזויפות הללו מטרתן להונות משתמשים כדי לבצע 'תיקוני PowerShell' מאיימים, שבסופו של דבר מתקינים תוכנות זדוניות. קמפיין זה זוהה והשתמשו בו גורמי איומים שונים, כולל אלו הקשורים ל-ClearFake, קבוצה חדשה המכונה ClickFix, ושחקן האיומים הידוע לשמצה TA571. TA571 ידוע בתפקידו כמפיץ דואר זבל, האחראי להפצת כמויות גדולות של מיילים שמובילים לעיתים קרובות להדבקות בתוכנות זדוניות ותוכנות כופר.
בעבר, התקפות ClearFake כללו שכבות-על של אתרים שהטעו מבקרים להתקין תוכנות זדוניות על ידי התחזות לעדכוני דפדפן מזויפים.
תוכן העניינים
התראות שגיאה מזויפות עשויות לספק איומים על תוכנות זדוניות
בהתקפות המדווחות, שחקני איומים הרחיבו את השיטות שלהם לכלול JavaScript המוטמע בקבצי HTML ואתרי אינטרנט שנפגעו. טקטיקות אלו כוללות כעת שכבות-על המדמות שגיאות מזויפות מ-Google Chrome, Microsoft Word ו-OneDrive. התראות מטעה אלו דוחקות את המבקרים ללחוץ על כפתור כדי להעתיק 'תיקון' של PowerShell ללוח שלהם, מורה להם להדביק ולהפעיל אותו בתיבת דו-שיח הפעלה או בהנחיית PowerShell.
בעוד שרשרת ההתקפה הזו מסתמכת על אינטראקציה משמעותית של משתמשים, ההנדסה החברתית שלה מתוחכמת מספיק כדי להציג למשתמשים מה שנראה כבעיה ופתרון אמיתיים בו זמנית. זה יכול לאלץ משתמשים לפעול בחיפזון מבלי להעריך באופן מלא את הסיכונים הנלווים. חוקרי Infosec זיהו מספר מטענים ששימשו בהתקפות אלו, כולל DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , חוטף לוח ו- Lumma Stealer .
סקריפטים הונאה מפילים תוכנה זדונית למכשירים של משתמשים
אנליסטים זיהו שלוש שרשראות תקיפה נפרדות הנבדלות בעיקר על ידי השלבים הראשוניים שלהן, כאשר רק הראשונה לא קשורה באופן סופי ל-TA571.
בתרחיש הראשון הזה, המשויך לגורמי איומים המחוברים ל-ClearFake, משתמשים מבקרים באתרים שנפגעו הטוענים סקריפטים זדוניים שמתארחים ב-blockchain באמצעות חוזי Smart Chain של Binance. סקריפטים אלה מבצעים בדיקות ומפעילים התראות מזויפות של Google Chrome המציגות בעיות בהצגת דפי אינטרנט. לאחר מכן תיבת הדו-שיח מבקשת מהמבקרים להתקין 'אישור שורש' על ידי העתקת סקריפט PowerShell ללוח של Windows והפעלתו במסוף Windows PowerShell (Admin).
עם הביצוע, סקריפט PowerShell מאמת את מכשיר היעד. הוא ממשיך לבצע פעולות כגון שטיפת מטמון ה-DNS, ניקוי תוכן הלוח, הצגת הודעת הסחת דעת והורדת סקריפט PowerShell מרוחק. סקריפט זה, בתורו, מבצע בדיקות אנטי-VM לפני תחילת ההורדה של מטען גניבת מידע.
הודעות דוא”ל ClickFix ו-Lure משמשות כשרשראות התקפה אלטרנטיביות
שרשרת ההתקפה השנייה מקושרת למסע הפרסום 'ClickFix', תוך שימוש בהזרקות אתרים באתרים שנפגעו כדי ליצור שכבת-על של iframe המציגה שגיאה מזויפת של Google Chrome. משתמשים מופנים לפתוח את 'Windows PowerShell (Admin)' ולהדביק את הקוד שסופק, וכתוצאה מכך לאותם זיהומים שהוזכרו קודם לכן.
שיטת הדבקה נוספת כוללת התקפות מבוססות דואר אלקטרוני באמצעות קבצי HTML הדומים למסמכי Microsoft Word. המשתמשים מתבקשים להתקין את התוסף 'Word Online' כדי להציג את המסמך בצורה נכונה. הודעת השגיאה מספקת אפשרויות 'כיצד לתקן' ו'תיקון אוטומטי'. בחירה ב'כיצד לתקן' מעתיקה פקודת PowerShell מקודדת base64 ללוח, מורה למשתמשים להדביק אותה ב-PowerShell. 'תיקון אוטומטי' משתמש בפרוטוקול search-ms כדי להציג קובץ 'fix.msi' או 'fix.vbs' שמתארח ב-WebDAV משיתוף קבצים מרוחק הנשלט על ידי תוקף. במקרים אלה, הפקודות של PowerShell מורידות ומבצעות קובץ MSI או סקריפט VBS, מה שמוביל לזיהומים על ידי Matanbuchus או DarkGate, בהתאמה.
לאורך התקפות אלו, גורמי איומים מנצלים את חוסר המודעות של המשתמשים לגבי הסיכונים הכרוכים בביצוע פקודות PowerShell במערכות שלהם. הם גם מנצלים את חוסר היכולת של Windows לזהות ולמנוע את הפעולות המזיקות המופעלות על ידי הקוד המודבק.
שרשראות ההתקפה המגוונות שנצפו על ידי חוקרים מצביעות על כך ש-TA571 בוחן באופן פעיל שיטות מגוונות כדי לשפר את היעילות ולגלות מסלולים נוספים להדבקה של מספר רב יותר של מערכות. גישה אדפטיבית זו מדגישה את מחויבותם של פושעי הסייבר לפתח את הטקטיקה שלהם ולהרחיב את השפעתם בתוך נוף אבטחת הסייבר.
