CORNFLAKE.V3 Backdoor

A kiberbűnözők egyre gyakrabban használják ki a ClickFix néven ismert megtévesztő technikát egy kifinomult hátsó ajtó, a CORNFLAKE.V3 terjesztésére. A tevékenységet nyomon követő biztonsági kutatók, akik UNC5518-as azonosítóval jelölték, egy hozzáférés-szolgáltatásként művelethez kötötték, ahol hamis CAPTCHA oldalak trükkös módon ráveszik az áldozatokat rosszindulatú parancsok végrehajtására. A hozzáférés megszerzése után azt továbbértékesítik vagy megosztják más kiberbűnözői csoportokkal további kihasználás céljából.

Hogyan kezdődik a támadás

A fertőzési lánc gyakran akkor kezdődik, amikor a felhasználók SEO-mérgezett keresési eredményekkel vagy rosszindulatú hirdetésekkel találkoznak. Az áldozatokat egy hamis CAPTCHA ellenőrző oldalra irányítják át, amely a Cloudflare Turnstile-jére vagy más legitim szolgáltatásokra hasonlít. Abban a hitben, hogy egy ellenőrzési kihívást oldanak meg, a felhasználókat ehelyett arra utasítják, hogy másoljanak ki és illesszenek be egy rosszindulatú PowerShell szkriptet a Windows Futtatás párbeszédpaneljébe, így a támadók megkapják a szükséges támogatást.

Fenyegető szereplő bevonása

Az UNC5518 kampányokból ellopott hozzáférést legalább két különálló csoport használta fel:

• UNC5774 – egy anyagilag motivált szereplő, aki CORNFLAKE-et szállít további hasznos terhek telepítéséhez.
• UNC4108 – egy tisztázatlan indítékú csoport, amelyet PowerShell használatával figyeltek meg olyan rosszindulatú programok telepítésére, mint a VOLTMARKER és a NetSupport RAT.

Ez jól mutatja, hogyan szolgál a ClickFix átjáróként a különféle rosszindulatú további tevékenységekhez.

KUKORICAPEHELY.V3 belülről

A CORNFLAKE.V3 hátsó ajtó JavaScript és PHP változatban is létezik. Úgy tervezték, hogy:

• Különböző hasznos adatokat hajthat végre HTTP-n keresztül, beleértve a futtatható fájlokat, DLL-eket, JavaScriptet, kötegelt fájlokat és PowerShell-parancsokat.
• Gyűjts össze alapvető rendszeradatokat, és küldd el azokat egy támadó által ellenőrzött szerverre Cloudflare alagutakon keresztül elrejtés céljából.

Elődjével, a V2-vel ellentétben, amely csak letöltőként működött, a V3 a Windows rendszerleíró adatbázis futtatási kulcsainak módosításával biztosítja a fájlok megőrzését, és szélesebb körű hasznos adatokat támogat. Legalább három hasznos adatot terjesztettek rajta keresztül, beleértve:

• Egy Active Directory felderítő eszköz
• Kerberoasting szkript hitelesítő adatok ellopásához

WINDYTWIST.SEA, egy C-alapú hátsó ajtó olyan képességekkel, mint a fordított shell hozzáférés, a TCP forgalom továbbítása és az oldalirányú mozgás

Miért veszélyes a ClickFix?

A ClickFix módszer lendületet vett a kiberbűnözői körökben, mivel nagymértékben támaszkodik az emberi interakcióra. A felhasználókat manipulálják, hogy maguk futtassanak parancsokat, megkerülve számos automatizált biztonsági eszközt. A gyakori kézbesítési vektorok a következők:

• Adathalász e-mailek
• Rosszindulatú hirdetési kampányok
• Drive-by weboldalak feltörései

A hitelesség növelése érdekében a támadók gyakran ismert márkákat, Cloudflare-ellenőrzéseket vagy akár Discord-szerverellenőrzéseket adnak ki.

A ClickFix készletek kereskedelmi forgalomba hozatala

2024 vége óta a ClickFix fejlesztők megjelennek földalatti fórumokon, „Win + R” készletekként reklámozva. Az árak jellemzően havi 200 és 1500 dollár között mozognak, a funkcióktól függően. Az egyes komponensek, például a forráskód, a landing page-ek vagy a parancssori szkriptek gyakran külön is megvásárolhatók 200–500 dollárért.

Néhány fejlett készlet a ClickFix készítőket más kártevő-betöltőkkel kombinálja, és a következőket kínálja:

• Kész landing oldalak különböző csalikkal
• Parancsok, amelyek garantáltan megkerülik a víruskereső észlelését
• Lehetőségek a megőrzéshez és a SmartScreen elkerüléséhez

Védekező intézkedések

A ClickFix-alapú fertőzések elleni védekezés érdekében a szervezeteknek proaktív védelmet kell alkalmazniuk. Az ajánlott lépések a következők:

• A Windows Futtatás párbeszédpanelének korlátozása vagy letiltása, ahol lehetséges.
• Rendszeres adathalász és pszichológiai manipulációval kapcsolatos szimulációk lebonyolítása a felhasználók betanítása érdekében.
• Robusztus naplózás és monitorozás megvalósítása a szokatlan PowerShell- vagy szkriptfuttatások gyors észlelése érdekében.

A megelőzésre és a korai felismerésre egyaránt összpontosítva a szervezetek jelentősen csökkenthetik a ClickFixet és a CORNFLAKE.V3-at érintő kampányok által jelentett kockázatot.