ClickFix Malware
Naujausioje kenkėjiškų programų platinimo strategijoje naudojami apgaulingi pranešimai, primenantys „Google Chrome“, „Microsoft Word“ ir „OneDrive“ klaidas. Šiais netikrais įspėjimais siekiama suklaidinti vartotojus, kad jie atliktų grėsmingus „PowerShell“ pataisymus, kurie galiausiai įdiegia kenkėjiškas programas. Šią kampaniją nustatė ir naudoja įvairūs grėsmės veikėjai, įskaitant tuos, kurie yra susiję su ClearFake, nauja grupe, žinoma kaip ClickFix, ir liūdnai pagarsėjusiu TA571 grėsmės veikėju. TA571 yra žinomas dėl savo, kaip šiukšlių platintojo, vaidmens, atsakingo už didelio el. laiškų kiekio platinimą, kuris dažnai sukelia kenkėjiškų programų ir išpirkos reikalaujančių programų užkrėtimą.
Anksčiau „ClearFake“ atakos apimdavo svetainių perdangas, kurios priversdavo lankytojus įdiegti kenkėjiškas programas, apsimetant netikrais naršyklės naujiniais.
Turinys
Suklastotų klaidų įspėjimai gali sukelti kenkėjiškų programų grėsmes
Per atakas, apie kurias pranešta, grėsmių subjektai išplėtė savo metodus, įtraukdami į HTML priedus įterptą „JavaScript“ ir pažeistas svetaines. Ši taktika dabar apima perdangas, kurios imituoja netikras klaidas iš „Google Chrome“, „Microsoft Word“ ir „OneDrive“. Šie apgaulingi įspėjimai ragina lankytojus spustelėti mygtuką, kad nukopijuotumėte „PowerShell“ pataisą į mainų sritį, nurodydami juos įklijuoti ir vykdyti dialogo lange Vykdyti arba „PowerShell“ raginimu.
Nors ši atakų grandinė priklauso nuo reikšmingos vartotojo sąveikos, jos socialinė inžinerija yra pakankamai sudėtinga, kad vartotojams pateiktų tai, kas, atrodo, yra tikra problema ir sprendimas vienu metu. Tai gali priversti vartotojus veikti skubotai, visiškai neįvertinus susijusios rizikos. „Infosec“ tyrėjai nustatė keletą šiose atakose naudojamų naudingų apkrovų, įskaitant „DarkGate“ , „Matanbuchus“ , „NetSupport “, „Amadey Loader“ , „XMRig “, iškarpinės užgrobėją ir „Lumma Stealer“ .
Apgaulingi scenarijai pašalina kenkėjiškas programas į vartotojų įrenginius
Analitikai nustatė tris skirtingas atakų grandines, pirmiausia išsiskiriančias pradiniais etapais, ir tik pirmoji nėra galutinai susieta su TA571.
Pagal šį pirmąjį scenarijų, susijusį su grėsmės veikėjais, prijungtais prie „ClearFake“, vartotojai lankosi pažeistose svetainėse, kurios įkelia kenkėjiškus scenarijus, priglobtus „blockchain“ per „Binance“ išmaniosios grandinės sutartis. Šie scenarijai atlieka patikrinimus ir suaktyvina netikrus „Google Chrome“ įspėjimus, teigiančius, kad yra problemų dėl tinklalapio rodymo. Dialogo lange lankytojai raginami įdiegti „šakninį sertifikatą“, nukopijuojant „PowerShell“ scenarijų į „Windows“ mainų sritį ir vykdant jį „Windows PowerShell“ (administratoriaus) konsolėje.
Vykdydamas „PowerShell“ scenarijų patvirtina tikslinį įrenginį. Jame atliekami tokie veiksmai, kaip DNS talpyklos išvalymas, mainų srities turinio išvalymas, dėmesio nukreipimo pranešimo rodymas ir nuotolinio „PowerShell“ scenarijaus atsisiuntimas. Šis scenarijus, savo ruožtu, atlieka anti-VM patikras prieš pradėdamas atsisiųsti informaciją vagiančio naudingo krovinio.
„ClickFix“ ir „viliojimo“ el. laiškai, naudojami kaip alternatyvios atakų grandinės
Antroji atakų grandinė yra susieta su „ClickFix“ kampanija, naudojant svetainių injekcijas pažeistose svetainėse, kad būtų sukurta „iframe“ perdanga, nurodanti netikrą „Google Chrome“ klaidą. Vartotojai yra nukreipiami atidaryti „Windows PowerShell (administratorius)“ ir įklijuoti pateiktą kodą, dėl kurio atsiranda tos pačios anksčiau minėtos infekcijos.
Kitas užkrėtimo būdas apima atakas el. paštu naudojant HTML priedus, primenančius „Microsoft Word“ dokumentus. Vartotojai raginami įdiegti „Word Online“ plėtinį, kad galėtų tinkamai peržiūrėti dokumentą. Klaidos pranešime pateikiamos parinktys „Kaip pataisyti“ ir „Automatinis taisymas“. Pasirinkus „Kaip pataisyti“, „Base64“ koduota „PowerShell“ komanda nukopijuojama į mainų sritį ir nurodoma naudotojams įklijuoti ją į „PowerShell“. „Automatinis taisymas“ naudoja paieškos-ms protokolą, kad būtų rodomas „WebDAV“ priglobtas „fix.msi“ arba „fix.vbs“ failas iš nuotolinio užpuoliko valdomo failo bendrinimo. Tokiais atvejais „PowerShell“ komandos atsisiunčia ir vykdo MSI failą arba VBS scenarijų, todėl atitinkamai užkrečia Matanbuchus arba DarkGate.
Per šias atakas grėsmės veikėjai naudojasi vartotojų nesuvokimu apie riziką, susijusią su PowerShell komandų vykdymu jų sistemose. Jie taip pat naudojasi „Windows“ nesugebėjimu aptikti žalingų veiksmų, kuriuos sukelia įklijuotas kodas, ir užkirsti jiems kelią.
Mokslininkų pastebėtos įvairios atakų grandinės rodo, kad TA571 aktyviai tiria įvairius metodus, kad padidintų veiksmingumą ir atrastų papildomų būdų užkrėsti didesnį skaičių sistemų. Šis prisitaikantis požiūris pabrėžia kibernetinių nusikaltėlių įsipareigojimą tobulinti savo taktiką ir didinti savo poveikį kibernetinio saugumo srityje.
