Preventivo sconto multi-licenza
Database delle minacce Malware Backdoor CORNFLAKE.V3

Backdoor CORNFLAKE.V3

Entro Mezo nel Malware, Minaccia persistente avanzata (APT), Porte sul retro
Traduci in:

Gli autori delle minacce stanno sfruttando sempre più una tecnica ingannevole nota come ClickFix per distribuire una backdoor sofisticata, CORNFLAKE.V3. I ricercatori di sicurezza che monitorano l'attività, denominata UNC5518, l'hanno collegata a un'operazione di accesso come servizio in cui false pagine CAPTCHA inducono le vittime a eseguire comandi dannosi. Una volta ottenuto l'accesso, il file viene rivenduto o condiviso con altri gruppi di criminali informatici per ulteriori sfruttamenti.

Come inizia l’attacco

La catena di infezione spesso inizia quando gli utenti interagiscono con risultati di ricerca inquinati da SEO o annunci dannosi. Le vittime vengono reindirizzate a una falsa pagina di verifica CAPTCHA, progettata per assomigliare a Turnstile di Cloudflare o ad altri servizi legittimi. Credendo di risolvere una richiesta di verifica, gli utenti vengono invece indotti a copiare e incollare uno script di PowerShell dannoso nella finestra di dialogo Esegui di Windows, offrendo agli aggressori l'accesso di cui hanno bisogno.

Coinvolgimento dell’attore della minaccia

L'accesso rubato dalle campagne UNC5518 è stato sfruttato da almeno due gruppi distinti:

  • UNC5774 – un attore motivato finanziariamente che consegna CORNFLAKE per distribuire carichi utili aggiuntivi.
  • UNC4108: un gruppo dalle motivazioni poco chiare, osservato mentre utilizzava PowerShell per rilasciare malware come VOLTMARKER e NetSupport RAT.

Ciò dimostra come ClickFix funga da gateway per una serie di attività di follow-up dannose.

All’interno di CORNFLAKE.V3

La backdoor CORNFLAKE.V3 esiste sia in JavaScript che in PHP. È progettata per:

  • Eseguire diversi payload tramite HTTP, tra cui file eseguibili, DLL, JavaScript, file batch e comandi PowerShell.
  • Raccogliere i dati di sistema di base e inviarli a un server controllato dall'aggressore tramite i tunnel di Cloudflare per nasconderli.

A differenza del suo predecessore V2, che funzionava solo come downloader, V3 introduce la persistenza modificando le chiavi di esecuzione del Registro di sistema di Windows e supporta una gamma più ampia di payload. Almeno tre payload sono stati distribuiti tramite V3, tra cui:

  • Uno strumento di ricognizione di Active Directory
  • Uno script Kerberoasting per il furto di credenziali

WINDYTWIST.SEA, una backdoor basata su C con funzionalità quali accesso reverse shell, inoltro del traffico TCP e movimento laterale

Perché ClickFix è pericoloso

Il metodo ClickFix ha guadagnato popolarità tra i criminali informatici perché si basa fortemente sull'interazione umana. Gli utenti vengono manipolati per eseguire autonomamente i comandi, aggirando molti strumenti di sicurezza automatizzati. I vettori di distribuzione più comuni includono:

  • E-mail di phishing
  • Campagne di malvertising
  • Compromissioni di siti web drive-by

Per aumentare la credibilità, gli aggressori spesso si spacciano per marchi noti, controlli Cloudflare o persino verifiche del server Discord.

Commercializzazione dei kit ClickFix

Dalla fine del 2024, i builder ClickFix sono comparsi sui forum underground, commercializzati come kit "Win + R". I prezzi variano in genere da 200 a 1.500 dollari al mese, a seconda delle funzionalità. I singoli componenti, come codice sorgente, landing page o script da riga di comando, sono spesso venduti separatamente a un prezzo compreso tra 200 e 500 dollari.

Alcuni kit avanzati integrano i generatori ClickFix con altri caricatori di malware e offrono:

  • Landing page già pronte con diverse esche
  • Comandi garantiti per bypassare il rilevamento antivirus
  • Opzioni per la persistenza e l'elusione di SmartScreen

Misure difensive

Per contrastare le infezioni basate su ClickFix, le organizzazioni dovrebbero adottare misure di difesa proattive. Le misure consigliate includono:

  • Limitare o disabilitare la finestra di dialogo Esegui di Windows, ove possibile.
  • Eseguire regolarmente simulazioni di phishing e ingegneria sociale per formare gli utenti.
  • Implementazione di un sistema di registrazione e monitoraggio affidabile per rilevare rapidamente esecuzioni insolite di PowerShell o di script.

Concentrandosi sia sulla prevenzione che sulla diagnosi precoce, le organizzazioni possono ridurre significativamente il rischio rappresentato dalle campagne che coinvolgono ClickFix e CORNFLAKE.V3.

Tendenza

I più visti

Caricamento in corso...