Ponuda s popustom na više licenci
Baza prijetnji Malware CORNFLAKE.V3 Stražnja vrata

CORNFLAKE.V3 Stražnja vrata

Do Mezo. Malware, Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:

Akteri prijetnji sve više iskorištavaju prijevarnu tehniku poznatu kao ClickFix za distribuciju sofisticiranog backdoora, CORNFLAKE.V3. Sigurnosni istraživači koji prate aktivnost, označenu kao UNC5518, povezali su je s operacijom pristupa kao usluge gdje lažne CAPTCHA stranice prevarom navode žrtve da izvršavaju zlonamjerne naredbe. Nakon što se dobije pristup, preprodaje se ili dijeli s drugim kibernetičkim kriminalnim skupinama radi daljnjeg iskorištavanja.

Kako počinje napad

Lanac zaraze često započinje kada korisnici komuniciraju s rezultatima pretraživanja zatrovanim SEO-om ili zlonamjernim oglasima. Žrtve se preusmjeravaju na lažnu CAPTCHA stranicu za provjeru, dizajniranu da nalikuje Cloudflareovom Turnstileu ili drugim legitimnim uslugama. Vjerujući da rješavaju izazov provjere, korisnici se umjesto toga upućuju na kopiranje i lijepljenje zlonamjernog PowerShell skripta u dijaloški okvir Windows Run, dajući napadačima potreban oslonac.

Uključenost aktera prijetnje

Ukradeni pristup iz kampanja UNC5518 iskoristile su najmanje dvije različite skupine:

  • UNC5774 – financijski motivirani akter koji isporučuje CORNFLAKE za raspoređivanje dodatnih korisnih tereta.
  • UNC4108 – grupa s nejasnim motivima, uočena je kako koristi PowerShell za postavljanje zlonamjernog softvera poput VOLTMARKER-a i NetSupport RAT-a.

Ovo pokazuje kako ClickFix služi kao ulaz za razne zlonamjerne aktivnosti praćenja.

Unutar CORNFLAKE-a.V3

Stražnja vrata CORNFLAKE.V3 postoje i u JavaScript i u PHP varijantama. Dizajnirana su za:

  • Izvršavanje različitih korisnih podataka putem HTTP-a, uključujući izvršne datoteke, DLL-ove, JavaScript, batch datoteke i PowerShell naredbe.
  • Prikupite osnovne podatke o sustavu i pošaljite ih na server kojim upravlja napadač putem Cloudflare tunela radi skrivanja.

Za razliku od svog prethodnika V2, koji je funkcionirao samo kao program za preuzimanje, V3 uvodi perzistenciju modificiranjem ključeva Windows registra i podržava širi raspon korisnih podataka. Najmanje tri korisna podataka su distribuirana putem njega, uključujući:

  • Alat za izviđanje Active Directoryja
  • Kerberoasting skripta za krađu vjerodajnica

WINDYTWIST.SEA, backdoor baziran na C-u s mogućnostima kao što su pristup obrnutoj ljusci, preusmjeravanje TCP prometa i lateralno kretanje

Zašto je ClickFix opasan

Metoda ClickFix dobila je na zamahu u krugovima kibernetičkog kriminala jer se uvelike oslanja na ljudsku interakciju. Korisnici se manipuliraju da sami izvršavaju naredbe, zaobilazeći mnoge automatizirane sigurnosne alate. Uobičajeni vektori isporuke uključuju:

  • E-poruke za krađu identiteta
  • Kampanje zlonamjernog oglašavanja
  • Kompromiti na web stranicama putem drive-byja

Kako bi povećali kredibilitet, napadači se često lažno predstavljaju kao poznati brendovi, Cloudflare provjere ili čak Discord provjere poslužitelja.

Komercijalizacija ClickFix kompleta

Od kraja 2024., ClickFix alati za izradu programa pojavljuju se na underground forumima, reklamirajući se kao 'Win + R' kompleti. Cijene se obično kreću od 200 do 1500 dolara mjesečno, ovisno o značajkama. Pojedinačne komponente, poput izvornog koda, odredišnih stranica ili skripti naredbenog retka, često se prodaju zasebno za 200 do 500 dolara.

Neki napredni kompleti kombiniraju ClickFix buildere s drugim programima za učitavanje zlonamjernog softvera i nude:

  • Gotove odredišne stranice s različitim mamcima
  • Naredbe koje zajamčeno zaobilaze antivirusnu detekciju
  • Opcije za perzistentnost i izbjegavanje SmartScreena

Obrambene mjere

Kako bi se suprotstavile infekcijama temeljenim na ClickFixu, organizacije bi trebale usvojiti proaktivne obrane. Preporučeni koraci uključuju:

  • Ograničavanje ili onemogućavanje dijaloga Pokreni u sustavu Windows gdje je to izvedivo.
  • Provođenje redovitih simulacija phishinga i socijalnog inženjeringa za obuku korisnika.
  • Implementacija robusnog evidentiranja i praćenja za brzo otkrivanje neobičnih izvršavanja PowerShella ili skripti.

Fokusiranjem na prevenciju i rano otkrivanje, organizacije mogu značajno smanjiti rizik koji predstavljaju kampanje koje uključuju ClickFix i CORNFLAKE.V3.

U trendu

Nagledanije

Učitavam...