ClickFix मैलवेयर
हाल ही में मैलवेयर वितरण रणनीति Google Chrome, Microsoft Word और OneDrive त्रुटियों जैसी भ्रामक सूचनाओं का उपयोग करती है। इन नकली अलर्ट का उद्देश्य उपयोगकर्ताओं को धमकी भरे PowerShell 'फ़िक्स' को निष्पादित करने के लिए धोखा देना है, जो अंततः मैलवेयर इंस्टॉल करते हैं। इस अभियान की पहचान विभिन्न ख़तरा पैदा करने वाले लोगों द्वारा की गई है और इसका उपयोग किया गया है, जिसमें ClearFake से जुड़े लोग, ClickFix के रूप में जाना जाने वाला एक नया समूह और कुख्यात TA571 ख़तरा पैदा करने वाले लोग शामिल हैं। TA571 को स्पैम वितरक के रूप में अपनी भूमिका के लिए जाना जाता है, जो बड़ी मात्रा में ईमेल प्रसारित करने के लिए जिम्मेदार है जो अक्सर मैलवेयर और रैनसमवेयर संक्रमण का कारण बनते हैं।
इससे पहले, क्लियरफेक हमलों में वेबसाइट ओवरले शामिल थे, जो आगंतुकों को नकली ब्राउज़र अपडेट के रूप में मैलवेयर इंस्टॉल करने के लिए प्रेरित करते थे।
विषयसूची
फर्जी त्रुटि अलर्ट से मैलवेयर का खतरा हो सकता है
रिपोर्ट किए गए हमलों में, धमकी देने वाले अभिनेताओं ने HTML अनुलग्नकों में एम्बेडेड जावास्क्रिप्ट और समझौता की गई वेबसाइटों को शामिल करने के लिए अपने तरीकों का विस्तार किया है। इन युक्तियों में अब ओवरले शामिल हैं जो Google Chrome, Microsoft Word और OneDrive से नकली त्रुटियों का अनुकरण करते हैं। ये भ्रामक अलर्ट आगंतुकों को PowerShell 'फिक्स' को उनके क्लिपबोर्ड पर कॉपी करने के लिए एक बटन पर क्लिक करने के लिए प्रेरित करते हैं, उन्हें रन डायलॉग या PowerShell प्रॉम्प्ट में पेस्ट करने और निष्पादित करने का निर्देश देते हैं।
जबकि यह हमला श्रृंखला महत्वपूर्ण उपयोगकर्ता सहभागिता पर निर्भर करती है, इसकी सोशल इंजीनियरिंग इतनी परिष्कृत है कि यह उपयोगकर्ताओं को एक वास्तविक समस्या और समाधान दोनों एक साथ प्रस्तुत करती है। यह उपयोगकर्ताओं को संबंधित जोखिमों का पूरी तरह से आकलन किए बिना जल्दबाजी में कार्य करने के लिए मजबूर कर सकता है। इन्फोसेक शोधकर्ताओं ने इन हमलों में इस्तेमाल किए गए कई पेलोड की पहचान की है, जिनमें डार्कगेट , मटनबुचस , नेटसपोर्ट , अमाडे लोडर , एक्सएमरिग , एक क्लिपबोर्ड अपहरणकर्ता और लुम्मा स्टीलर शामिल हैं।
धोखाधड़ी वाली स्क्रिप्ट उपयोगकर्ताओं के डिवाइस पर मैलवेयर छोड़ती हैं
विश्लेषकों ने तीन अलग-अलग आक्रमण श्रृंखलाओं की पहचान की है, जो मुख्यतः उनके प्रारंभिक चरणों से अलग हैं, जिनमें से केवल पहला चरण ही निश्चित रूप से TA571 से जुड़ा हुआ नहीं है।
इस पहले परिदृश्य में, ClearFake से जुड़े ख़तरनाक अभिनेताओं से जुड़े, उपयोगकर्ता समझौता की गई वेबसाइटों पर जाते हैं जो Binance के स्मार्ट चेन अनुबंधों के माध्यम से ब्लॉकचेन पर होस्ट की गई दुर्भावनापूर्ण स्क्रिप्ट लोड करते हैं। ये स्क्रिप्ट जाँच करती हैं और वेब पेज डिस्प्ले के साथ समस्याओं का दावा करते हुए नकली Google Chrome अलर्ट ट्रिगर करती हैं। फिर डायलॉग विज़िटर को Windows क्लिपबोर्ड पर PowerShell स्क्रिप्ट कॉपी करके और Windows PowerShell (Admin) कंसोल में इसे निष्पादित करके 'रूट प्रमाणपत्र' स्थापित करने के लिए प्रेरित करता है।
निष्पादन के बाद, PowerShell स्क्रिप्ट लक्ष्य डिवाइस को मान्य करती है। यह DNS कैश को फ्लश करने, क्लिपबोर्ड सामग्री को साफ़ करने, एक विकर्षण संदेश प्रदर्शित करने और एक दूरस्थ PowerShell स्क्रिप्ट डाउनलोड करने जैसी क्रियाएँ करने के लिए आगे बढ़ती है। यह स्क्रिप्ट, बदले में, सूचना-चोरी करने वाले पेलोड के डाउनलोड को आरंभ करने से पहले एंटी-वीएम जाँच करती है।
क्लिकफिक्स और ल्यूर ईमेल का उपयोग वैकल्पिक आक्रमण श्रृंखला के रूप में किया गया
दूसरा हमला 'क्लिकफिक्स' अभियान से जुड़ा हुआ है, जो एक नकली गूगल क्रोम त्रुटि प्रस्तुत करने वाले आईफ्रेम ओवरले बनाने के लिए समझौता किए गए साइटों पर वेबसाइट इंजेक्शन का उपयोग करता है। उपयोगकर्ताओं को 'विंडोज पॉवरशेल (एडमिन)' खोलने और दिए गए कोड को पेस्ट करने के लिए निर्देशित किया जाता है, जिसके परिणामस्वरूप पहले बताए गए समान संक्रमण होते हैं।
एक अन्य संक्रमण विधि में Microsoft Word दस्तावेज़ों से मिलते-जुलते HTML अनुलग्नकों का उपयोग करके ईमेल-आधारित हमले शामिल हैं। दस्तावेज़ को सही ढंग से देखने के लिए उपयोगकर्ताओं को 'वर्ड ऑनलाइन' एक्सटेंशन इंस्टॉल करने के लिए कहा जाता है। त्रुटि संदेश 'कैसे ठीक करें' और 'ऑटो-फिक्स' विकल्प प्रदान करता है। 'कैसे ठीक करें' का चयन करने से बेस64-एन्कोडेड पावरशेल कमांड क्लिपबोर्ड पर कॉपी हो जाती है, जो उपयोगकर्ताओं को इसे पावरशेल में पेस्ट करने का निर्देश देती है। 'ऑटो-फिक्स' रिमोट हमलावर-नियंत्रित फ़ाइल शेयर से WebDAV-होस्टेड 'fix.msi' या 'fix.vbs' फ़ाइल प्रदर्शित करने के लिए सर्च-एमएस प्रोटोकॉल का उपयोग करता है। इन उदाहरणों में, पावरशेल कमांड या तो MSI फ़ाइल या VBS स्क्रिप्ट को डाउनलोड और निष्पादित करते हैं, जिससे क्रमशः Matanbuchus या DarkGate द्वारा संक्रमण होता है।
इन हमलों के दौरान, खतरा पैदा करने वाले लोग अपने सिस्टम पर PowerShell कमांड निष्पादित करने से जुड़े जोखिमों के बारे में उपयोगकर्ताओं की जागरूकता की कमी का फ़ायदा उठाते हैं। वे चिपकाए गए कोड द्वारा ट्रिगर किए गए हानिकारक कार्यों का पता लगाने और उन्हें रोकने में Windows की अक्षमता का भी फ़ायदा उठाते हैं।
शोधकर्ताओं द्वारा देखी गई विभिन्न आक्रमण श्रृंखलाएँ संकेत देती हैं कि TA571 सक्रिय रूप से प्रभावकारिता बढ़ाने और अधिक संख्या में सिस्टम को संक्रमित करने के लिए अतिरिक्त मार्ग खोजने के लिए विविध तरीकों की खोज कर रहा है। यह अनुकूली दृष्टिकोण साइबर अपराधियों की अपनी रणनीति विकसित करने और साइबर सुरक्षा परिदृश्य के भीतर अपने प्रभाव का विस्तार करने की प्रतिबद्धता को रेखांकित करता है।
