ClickFix Malware
Nedavna strategija distribucije zlonamjernog softvera koristi lažne obavijesti koje podsjećaju na pogreške Google Chromea, Microsoft Worda i OneDrivea. Ova lažna upozorenja imaju za cilj prevariti korisnike da izvrše prijeteće 'popravke' PowerShell-a, koji u konačnici instaliraju zlonamjerni softver. Ovu su kampanju identificirali i koristili različiti akteri prijetnji, uključujući one povezane s ClearFakeom, novom grupom poznatom kao ClickFix i ozloglašenog aktera prijetnje TA571. TA571 poznat je po svojoj ulozi distributera neželjene pošte, odgovoran za širenje velikih količina e-pošte koje često dovode do infekcija zlonamjernim softverom i ransomwareom.
Prethodno su ClearFake napadi uključivali preklapanja web stranica koja su prevarila posjetitelje da instaliraju zlonamjerni softver predstavljajući se kao lažna ažuriranja preglednika.
Sadržaj
Lažna upozorenja o pogrešci mogu predstavljati prijetnje zlonamjernim softverom
U prijavljenim napadima akteri prijetnji proširili su svoje metode na uključivanje JavaScripta ugrađenog u HTML privitke i kompromitirane web stranice. Ove taktike sada uključuju slojeve koji simuliraju lažne pogreške iz Google Chromea, Microsoft Worda i OneDrivea. Ova varljiva upozorenja potiču posjetitelje da kliknu na gumb kako bi kopirali PowerShell 'popravak' u svoj međuspremnik, upućujući ih da ga zalijepe i izvrše ili u dijaloškom okviru Pokreni ili u odzivniku PowerShell.
Dok se ovaj lanac napada oslanja na značajnu interakciju korisnika, njegov društveni inženjering dovoljno je sofisticiran da korisnicima predstavi ono što se čini kao pravi problem i rješenje istovremeno. To može natjerati korisnike na ishitreno djelovanje bez potpune procjene povezanih rizika. Istraživači Infoseca identificirali su nekoliko korisnih opterećenja korištenih u ovim napadima, uključujući DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , otmičar međuspremnika i Lumma Stealer .
Lažne skripte ispuštaju zlonamjerni softver na korisničke uređaje
Analitičari su identificirali tri različita lanca napada koji se prvenstveno razlikuju po početnim fazama, pri čemu samo prvi nije definitivno povezan s TA571.
U ovom prvom scenariju, povezanom s prijetnjama povezanim s ClearFakeom, korisnici posjećuju kompromitirana web-mjesta koja učitavaju zlonamjerne skripte hostirane na blockchainu putem Binanceovih Smart Chain ugovora. Ove skripte provode provjere i pokreću lažna Google Chrome upozorenja koja navode probleme s prikazom web stranice. Dijaloški okvir potom traži od posjetitelja da instaliraju 'korijenski certifikat' kopiranjem PowerShell skripte u Windows međuspremnik i njezinim izvođenjem u Windows PowerShell (Administratorskoj) konzoli.
Nakon izvršenja, skripta PowerShell provjerava ciljni uređaj. Nastavlja s izvođenjem radnji kao što je ispiranje DNS predmemorije, brisanje sadržaja međuspremnika, prikazivanje poruke ometanja i preuzimanje udaljene PowerShell skripte. Ova skripta zauzvrat provodi anti-VM provjere prije pokretanja preuzimanja sadržaja koji krade podatke.
ClickFix i primamljive e-poruke koje se koriste kao alternativni lanci napada
Drugi lanac napada povezan je s kampanjom 'ClickFix', koristeći ubacivanje web stranica na kompromitirana mjesta za stvaranje iframe sloja koji predstavlja lažnu pogrešku Google Chromea. Korisnici se usmjeravaju da otvore 'Windows PowerShell (Administrator)' i zalijepe navedeni kod, što rezultira istim prethodno spomenutim infekcijama.
Druga metoda infekcije uključuje napade temeljene na e-pošti korištenjem HTML privitaka koji nalikuju Microsoft Word dokumentima. Od korisnika se traži da instaliraju ekstenziju 'Word Online' kako bi ispravno pregledali dokument. Poruka o pogrešci nudi opcije "Kako popraviti" i "Automatski popravi". Odabirom "Kako popraviti" PowerShell naredba kodirana base64 kopira se u međuspremnik, upućujući korisnike da je zalijepe u PowerShell. 'Auto-fix' koristi search-ms protokol za prikaz datoteke 'fix.msi' ili 'fix.vbs' hostirane na WebDAV-u iz udaljenog dijeljenja datoteka kojim upravlja napadač. U tim slučajevima, PowerShell naredbe preuzimaju i izvršavaju ili MSI datoteku ili VBS skriptu, što dovodi do infekcija od strane Matanbuchusa ili DarkGatea.
Tijekom ovih napada akteri prijetnji iskorištavaju nedostatak svijesti korisnika o rizicima povezanim s izvršavanjem PowerShell naredbi na njihovim sustavima. Oni također iskorištavaju nemogućnost sustava Windows da otkrije i spriječi štetne radnje koje pokreće zalijepljeni kod.
Različiti lanci napada koje su promatrali istraživači ukazuju na to da TA571 aktivno istražuje različite metode za povećanje učinkovitosti i otkrivanje dodatnih puteva za zarazu većeg broja sustava. Ovaj prilagodljivi pristup naglašava predanost kibernetičkih kriminalaca razvoju svojih taktika i širenju njihovog utjecaja unutar kibernetičke sigurnosti.
