ClickFix Malware
Una recente strategia di distribuzione del malware utilizza notifiche ingannevoli simili agli errori di Google Chrome, Microsoft Word e OneDrive. Questi falsi avvisi mirano a indurre gli utenti a eseguire minacciose "correzioni" di PowerShell, che alla fine installano malware. Questa campagna è stata identificata e utilizzata da vari autori di minacce, compresi quelli associati a ClearFake, un nuovo gruppo noto come ClickFix e il famigerato attore di minacce TA571. TA571 è noto per il suo ruolo di distributore di spam, responsabile della diffusione di grandi volumi di e-mail che spesso portano a infezioni da malware e ransomware.
In precedenza, gli attacchi ClearFake coinvolgevano sovrapposizioni di siti Web che inducevano con l’inganno i visitatori a installare malware fingendosi falsi aggiornamenti del browser.
Sommario
Avvisi di errori falsi possono fornire minacce malware
Negli attacchi segnalati, gli autori delle minacce hanno ampliato i propri metodi per includere JavaScript incorporato negli allegati HTML e nei siti Web compromessi. Queste tattiche ora implicano sovrapposizioni che simulano falsi errori di Google Chrome, Microsoft Word e OneDrive. Questi avvisi ingannevoli spingono i visitatori a fare clic su un pulsante per copiare una "correzione" di PowerShell negli appunti, chiedendo loro di incollarla ed eseguirla in una finestra di dialogo Esegui o in un prompt di PowerShell.
Sebbene questa catena di attacco si basi su un’interazione significativa da parte dell’utente, la sua ingegneria sociale è sufficientemente sofisticata da presentare agli utenti quello che sembra essere un vero problema e una soluzione allo stesso tempo. Ciò può costringere gli utenti ad agire affrettatamente senza valutare appieno i rischi associati. I ricercatori di Infosec hanno identificato diversi payload utilizzati in questi attacchi, tra cui DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , un dirottatore di appunti e Lumma Stealer .
Gli script fraudolenti rilasciano malware sui dispositivi degli utenti
Gli analisti hanno identificato tre distinte catene di attacco distinte principalmente per le loro fasi iniziali, con solo la prima non definitivamente collegata a TA571.
In questo primo scenario, associato agli autori delle minacce collegati a ClearFake, gli utenti visitano siti Web compromessi che caricano script dannosi ospitati sulla blockchain tramite i contratti Smart Chain di Binance. Questi script eseguono controlli e attivano falsi avvisi di Google Chrome che segnalano problemi con la visualizzazione della pagina Web. La finestra di dialogo richiede quindi ai visitatori di installare un "certificato root" copiando uno script di PowerShell negli Appunti di Windows ed eseguendolo in una console di Windows PowerShell (amministratore).
Al momento dell'esecuzione, lo script PowerShell convalida il dispositivo di destinazione. Procede eseguendo azioni come svuotare la cache DNS, cancellare il contenuto degli appunti, visualizzare un messaggio di distrazione e scaricare uno script PowerShell remoto. Questo script, a sua volta, esegue controlli anti-VM prima di avviare il download di un payload che ruba informazioni.
Email ClickFix e Lure utilizzate come catene di attacco alternative
La seconda catena di attacco è collegata alla campagna "ClickFix", che utilizza iniezioni di siti Web su siti compromessi per creare un overlay iframe che presenta un falso errore di Google Chrome. Gli utenti vengono indirizzati ad aprire "Windows PowerShell (Admin)" e incollare il codice fornito, provocando le stesse infezioni menzionate in precedenza.
Un altro metodo di infezione prevede attacchi basati su e-mail che utilizzano allegati HTML simili a documenti di Microsoft Word. Agli utenti viene richiesto di installare l'estensione "Word Online" per visualizzare correttamente il documento. Il messaggio di errore fornisce le opzioni "Come risolvere" e "Correzione automatica". Selezionando "Come risolvere" si copia negli appunti un comando PowerShell con codifica base64, chiedendo agli utenti di incollarlo in PowerShell. La "correzione automatica" utilizza il protocollo search-ms per visualizzare un file "fix.msi" o "fix.vbs" ospitato su WebDAV da una condivisione file remota controllata dall'aggressore. In questi casi, i comandi PowerShell scaricano ed eseguono un file MSI o uno script VBS, causando rispettivamente infezioni da Matanbuchus o DarkGate.
Durante questi attacchi, gli autori delle minacce sfruttano la mancanza di consapevolezza degli utenti riguardo ai rischi associati all'esecuzione dei comandi PowerShell sui loro sistemi. Inoltre sfruttano l'incapacità di Windows di rilevare e prevenire le azioni dannose attivate dal codice incollato.
Le varie catene di attacco osservate dai ricercatori indicano che TA571 sta esplorando attivamente diversi metodi per migliorare l’efficacia e scoprire ulteriori percorsi per infettare un numero maggiore di sistemi. Questo approccio adattivo sottolinea l’impegno dei criminali informatici nell’evoluzione delle loro tattiche e nell’espansione del loro impatto nel panorama della sicurezza informatica.
