ClickFix Malware

Egy újabb rosszindulatú programterjesztési stratégia a Google Chrome, a Microsoft Word és a OneDrive hibáira emlékeztető, megtévesztő értesítéseket alkalmaz. Ezek a hamis figyelmeztetések célja, hogy a felhasználókat fenyegető PowerShell „javítások” végrehajtására vezessék be, amelyek végül rosszindulatú programokat telepítenek. Ezt a kampányt számos fenyegető szereplő azonosította és használta, köztük a ClearFake-hez, a ClickFix néven ismert új csoporthoz és a hírhedt TA571-es fenyegetettséghez kötődők. A TA571 spam-terjesztő szerepéről ismert, amely nagy mennyiségű e-mail terjesztéséért felelős, amelyek gyakran rosszindulatú és zsarolóprogram-fertőzéshez vezetnek.

Korábban a ClearFake támadások olyan webhely-fedvényeket tartalmaztak, amelyek hamis böngészőfrissítéseknek adva csalták rá a látogatókat, hogy rosszindulatú programokat telepítsenek.

A hamis hibafigyelmeztetések rosszindulatú programokkal fenyegethetnek

A jelentett támadások során a fenyegetés szereplői kiterjesztették módszereiket a HTML-mellékletekbe ágyazott JavaScript-re és a feltört webhelyekre. Ezek a taktikák most olyan fedvényeket tartalmaznak, amelyek a Google Chrome, a Microsoft Word és a OneDrive hamis hibáit szimulálják. Ezek a megtévesztő figyelmeztetések arra késztetik a látogatókat, hogy kattintsanak egy gombra, hogy a PowerShell-javítást a vágólapra másolják, és utasítják őket, hogy illesszék be és hajtsák végre azt a Futtatás párbeszédpanelen vagy a PowerShell-promptban.

Míg ez a támadási lánc jelentős felhasználói interakción alapul, szociális tervezése elég kifinomult ahhoz, hogy a felhasználók számára valódi problémát és megoldást egyszerre mutasson be. Ez arra kényszerítheti a felhasználókat, hogy elhamarkodottan cselekedjenek anélkül, hogy teljes mértékben felmérnék a kapcsolódó kockázatokat. Az Infosec kutatói több hasznos adatot azonosítottak, amelyeket ezekben a támadásokban használtak, köztük a DarkGate-et , a Matanbuchust , a NetSupportot , az Amadey Loader-t , az XMRig-et , egy vágólap-eltérítőt és a Lumma Stealer-t .

A csalárd szkriptek rosszindulatú programokat juttatnak el a felhasználók eszközeire

Az elemzők három különböző támadási láncot azonosítottak, amelyek elsősorban kezdeti szakaszuk alapján különböznek egymástól, és csak az első nem kapcsolódik véglegesen a TA571-hez.

Ebben az első forgatókönyvben, amely a ClearFake-hez kapcsolódó fenyegetés szereplőihez kapcsolódik, a felhasználók olyan feltört webhelyeket keresnek fel, amelyek a Binance intelligens lánc szerződésein keresztül a blokkláncon tárolt rosszindulatú szkripteket töltenek be. Ezek a szkriptek ellenőrzéseket végeznek, és hamis Google Chrome-riasztásokat indítanak el, jelezve, hogy problémák vannak a weboldalak megjelenítésével. A párbeszédpanel felkéri a látogatókat, hogy telepítsenek egy „gyökértanúsítványt” a PowerShell-szkriptnek a Windows vágólapra másolásával, és a Windows PowerShell (felügyeleti) konzolon való futtatásával.

A végrehajtás után a PowerShell-parancsfájl érvényesíti a céleszközt. Olyan műveleteket hajt végre, mint például a DNS-gyorsítótár kiürítése, a vágólap tartalmának törlése, egy figyelemelterelő üzenet megjelenítése és egy távoli PowerShell-szkript letöltése. Ez a szkript viszont virtuálisgép-ellenőrzéseket hajt végre, mielőtt elindítaná az információlopó rakomány letöltését.

Alternatív támadási láncként használt ClickFix és csalogató e-mailek

A második támadási lánc a „ClickFix” kampányhoz kapcsolódik, amely webhely-injekciókat használ a feltört webhelyeken, hogy létrehozzon egy iframe-fedvényt, amely hamis Google Chrome-hibát mutat be. A felhasználók a „Windows PowerShell (Admin)” megnyitására és a megadott kód beillesztésére utasítják a rendszert, ami a korábban említett fertőzéseket eredményezi.

Egy másik fertőzési módszer az e-mail alapú támadások, amelyek Microsoft Word dokumentumokra emlékeztető HTML-mellékleteket használnak. A felhasználóknak telepíteniük kell a „Word Online” bővítményt a dokumentum megfelelő megtekintéséhez. A hibaüzenet a „Javítás” és az „Automatikus javítás” opciókat tartalmazza. A „Javítás módja” kiválasztásával egy base64-kódolású PowerShell-parancs a vágólapra másolódik, és utasítja a felhasználókat, hogy illessze be a PowerShellbe. Az „Auto-fix” a search-ms protokollt használja a WebDAV által üzemeltetett „fix.msi” vagy „fix.vbs” fájl megjelenítésére egy távoli támadó által vezérelt fájlmegosztásból. Ezekben az esetekben a PowerShell-parancsok egy MSI-fájlt vagy egy VBS-szkriptet töltenek le és hajtanak végre, ami Matanbuchus vagy DarkGate fertőzéshez vezet.

E támadások során a fenyegetés szereplői kihasználják, hogy a felhasználók nincsenek tisztában a PowerShell-parancsok rendszerükön történő végrehajtásával kapcsolatos kockázatokkal kapcsolatban. Azt is kihasználják, hogy a Windows nem képes észlelni és megakadályozni a beillesztett kód által kiváltott káros műveleteket.

A kutatók által megfigyelt változatos támadási láncok azt jelzik, hogy a TA571 aktívan kutat különféle módszereket a hatékonyság fokozása és további utak felfedezése érdekében, hogy több rendszert fertőzhessen meg. Ez az adaptív megközelítés alátámasztja a kiberbűnözők elkötelezettségét taktikáik fejlesztése és a kiberbiztonsági környezeten belüli hatásuk kiterjesztése iránt.