דלת אחורית של CORNFLAKE.V3

גורמי איום מנצלים יותר ויותר טכניקה מטעה המכונה ClickFix כדי להפיץ דלת אחורית מתוחכמת, CORNFLAKE.V3. חוקרי אבטחה שעוקבים אחר הפעילות, שסומנה UNC5518, קישרו אותה לפעולת גישה כשירות שבה דפי CAPTCHA מזויפים מרמים קורבנות לבצע פקודות זדוניות. לאחר קבלת גישה, היא נמכרת מחדש או משותפת עם קבוצות פושעי סייבר אחרות לניצול נוסף.

כיצד מתחילה ההתקפה

שרשרת ההדבקה מתחילה לעיתים קרובות כאשר משתמשים מקיימים אינטראקציה עם תוצאות חיפוש מורעלות על ידי SEO או פרסומות זדוניות. הקורבנות מופנים לדף אימות CAPTCHA מזויף, שנועד להידמות ל-Turnstile של Cloudflare או לשירותים לגיטימיים אחרים. מתוך אמונה שהם פותרים אתגר אימות, משתמשים מונחים במקום זאת להעתיק ולהדביק סקריפט PowerShell זדוני לתוך תיבת הדו-שיח הפעלה של Windows, מה שנותן לתוקפים את דריסת הרגל הדרושה להם.

מעורבות גורם איום

הגישה הגנובה מקמפיינים של UNC5518 נוצלה על ידי לפחות שתי קבוצות נפרדות:

• UNC5774 – גורם בעל מוטיבציה כלכלית המספק CORNFLAKE לפריסת מטענים נוספים.
• UNC4108 – קבוצה עם מניעים לא ברורים, שנצפתה משתמשת ב-PowerShell כדי להפיל תוכנות זדוניות כמו VOLTMARKER ו-NetSupport RAT.

זה מדגים כיצד ClickFix משמש כשער למגוון פעילויות מעקב זדוניות.

בתוך קורנפלקס.V3

דלת אחורית מסוג CORNFLAKE.V3 קיימת גם בגרסאות JavaScript וגם בגרסאות PHP. היא נועדה:

• הפעל מטענים שונים באמצעות HTTP, כולל קבצי הרצה, קבצי DLL, JavaScript, קבצי אצווה ופקודות PowerShell.
• אסוף נתוני מערכת בסיסיים ושלח אותם לשרת הנשלט על ידי תוקף דרך מנהרות Cloudflare לצורך הסתרה.

בניגוד לקודמו V2, שתפקד כמעביר הורדה בלבד, V3 מציגה תמיכה בשמירה על תפקוד על ידי שינוי מקשי הפעלה של הרישום של Windows ותומכת במגוון רחב יותר של מטענים. לפחות שלושה מטענים הופצו דרכו, כולל:

• כלי סיור של Active Directory
• סקריפט Kerberoasting לגניבת אישורים

WINDYTWIST.SEA, דלת אחורית מבוססת C עם יכולות כגון גישה הפוכה במעטפת, העברת תעבורת TCP ותנועה צידית

למה ClickFix מסוכן

שיטת ClickFix צברה תאוצה בקרב פושעי סייבר משום שהיא מסתמכת במידה רבה על אינטראקציה אנושית. משתמשים מופעלים על ידי מניפולציה להריץ פקודות בעצמם, תוך עקיפת כלי אבטחה אוטומטיים רבים. וקטורי אספקה נפוצים כוללים:

• אימיילים של פישינג
• קמפיינים של פרסום זדוני
• פגיעות באתרי אינטרנט של Drive-by

כדי להגביר את האמינות, תוקפים לעתים קרובות מתחזים למותגים ידועים, בדיקות Cloudflare או אפילו אימותים של שרת Discord.

מסחור ערכות ClickFix

מאז סוף 2024, בוני תוכנות ClickFix הופיעו בפורומים מחתרתיים, ומשווקים כערכות 'Win + R'. המחירים נעים בדרך כלל בין 200 ל-1,500 דולר לחודש, בהתאם לתכונות. רכיבים בודדים, כגון קוד מקור, דפי נחיתה או סקריפטים של שורת פקודה, נמכרים לעתים קרובות בנפרד תמורת 200-500 דולר.

חלק מהערכות המתקדמות מאחדות את בוני ClickFix עם טועני תוכנות זדוניות אחרות ומציעות:

• דפי נחיתה מוכנים עם פיתיונות שונים
• פקודות שמובטחות לעקוף זיהוי אנטי-וירוס
• אפשרויות להתמדה ולהתחמקות מ-SmartScreen

אמצעי הגנה

כדי להתמודד עם זיהומים מבוססי ClickFix, ארגונים צריכים לאמץ הגנות פרואקטיביות. הצעדים המומלצים כוללים:

• הגבלה או השבתה של תיבת הדו-שיח הפעלה של Windows במידת האפשר.
• ביצוע סימולציות פישינג והנדסה חברתית באופן קבוע כדי להכשיר משתמשים.
• יישום רישום וניטור חזקים כדי לזהות במהירות ביצועים חריגים של PowerShell או סקריפטים.

על ידי התמקדות הן במניעה והן בגילוי מוקדם, ארגונים יכולים להפחית משמעותית את הסיכון שמציבים קמפיינים הכוללים את ClickFix ו-CORNFLAKE.V3.