ClickFix Malware
Jaunākā ļaunprātīgas programmatūras izplatīšanas stratēģija izmanto maldinošus paziņojumus, kas atgādina Google Chrome, Microsoft Word un OneDrive kļūdas. Šo viltus brīdinājumu mērķis ir maldināt lietotājus, lai tie veiktu draudīgus PowerShell labojumus, kas galu galā instalē ļaunprātīgu programmatūru. Šo kampaņu ir identificējuši un izmantojuši dažādi apdraudējuma dalībnieki, tostarp tie, kas saistīti ar ClearFake, jaunu grupu, kas pazīstama kā ClickFix, un bēdīgi slaveno draudu dalībnieku TA571. TA571 ir pazīstams ar savu surogātpasta izplatītāja lomu, kas ir atbildīgs par liela apjoma e-pasta izplatīšanu, kas bieži izraisa ļaunprātīgas programmatūras un izspiedējvīrusu infekcijas.
Iepriekš ClearFake uzbrukumos tika izmantoti vietņu pārklājumi, kas lika apmeklētājiem instalēt ļaunprātīgu programmatūru, izliekoties par viltotiem pārlūkprogrammas atjauninājumiem.
Satura rādītājs
Viltus kļūdu brīdinājumi var radīt ļaunprātīgas programmatūras draudus
Paziņotajos uzbrukumos draudu dalībnieki ir paplašinājuši savas metodes, iekļaujot HTML pielikumos iegulto JavaScript un apdraudētas vietnes. Šī taktika tagad ietver pārklājumus, kas simulē viltus kļūdas no Google Chrome, Microsoft Word un OneDrive. Šie maldinošie brīdinājumi mudina apmeklētājus noklikšķināt uz pogas, lai kopētu PowerShell labojumu savā starpliktuvē, liekot viņiem to ielīmēt un izpildīt palaist dialoglodziņā vai PowerShell uzvednē.
Lai gan šī uzbrukuma ķēde balstās uz ievērojamu lietotāju mijiedarbību, tās sociālā inženierija ir pietiekami sarežģīta, lai vienlaikus parādītu lietotājiem šķietami patiesu problēmu un risinājumu. Tas var likt lietotājiem rīkoties pārsteidzīgi, pilnībā nenovērtējot saistītos riskus. Infosec pētnieki ir identificējuši vairākas šajos uzbrukumos izmantotās slodzes, tostarp DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , starpliktuves nolaupītājs un Lumma Stealer .
Krāpnieciski skripti iznīcina ļaunprātīgu programmatūru lietotāju ierīcēs
Analītiķi ir identificējuši trīs atšķirīgas uzbrukuma ķēdes, kas galvenokārt atšķiras pēc to sākotnējiem posmiem, un tikai pirmā nav pilnībā saistīta ar TA571.
Šajā pirmajā scenārijā, kas saistīts ar apdraudējuma dalībniekiem, kas ir saistīti ar ClearFake, lietotāji apmeklē apdraudētas vietnes, kas ielādē ļaunprātīgus skriptus, kas tiek mitināti blokķēdē, izmantojot Binance viedās ķēdes līgumus. Šie skripti veic pārbaudes un aktivizē viltotus Google Chrome brīdinājumus par problēmām ar tīmekļa lapas attēlojumu. Dialoglodziņā apmeklētāji tiek piedāvāti instalēt “saknes sertifikātu”, kopējot PowerShell skriptu Windows starpliktuvē un izpildot to Windows PowerShell (administratora) konsolē.
Pēc izpildes PowerShell skripts apstiprina mērķa ierīci. Tas turpina veikt tādas darbības kā DNS kešatmiņas izskalošana, starpliktuves satura notīrīšana, uzmanības novēršanas ziņojuma parādīšana un attālā PowerShell skripta lejupielāde. Šis skripts savukārt veic anti-VM pārbaudes pirms informācijas zagšanas lietderīgās slodzes lejupielādes.
ClickFix un Lure e-pasta ziņojumi, kas tiek izmantoti kā alternatīvas uzbrukuma ķēdes
Otrā uzbrukuma ķēde ir saistīta ar kampaņu “ClickFix”, izmantojot vietņu injekcijas apdraudētās vietnēs, lai izveidotu iframe pārklājumu, kas parāda viltus Google Chrome kļūdu. Lietotāji tiek novirzīti atvērt Windows PowerShell (administrators) un ielīmēt sniegto kodu, kā rezultātā tiek konstatētas tās pašas infekcijas, kas tika minētas iepriekš.
Vēl viena inficēšanas metode ietver uz e-pastu balstītus uzbrukumus, izmantojot HTML pielikumus, kas atgādina Microsoft Word dokumentus. Lai pareizi skatītu dokumentu, lietotājiem tiek piedāvāts instalēt paplašinājumu Word Online. Kļūdas ziņojumā ir norādītas opcijas “Kā labot” un “Automātiskā labošana”. Atlasot “Kā labot”, starpliktuvē tiek kopēta base64 kodēta PowerShell komanda, norādot lietotājiem to ielīmēt programmā PowerShell. “Automātiskā labošana” izmanto meklēšanas ms protokolu, lai parādītu WebDAV mitinātu failu “fix.msi” vai “fix.vbs” no attālā uzbrucēja kontrolēta faila koplietojuma. Šādos gadījumos PowerShell komandas lejupielādē un izpilda vai nu MSI failu, vai VBS skriptu, izraisot Matanbuchus vai DarkGate inficēšanos.
Visos šajos uzbrukumos apdraudējuma dalībnieki izmanto lietotāju izpratnes trūkumu par riskiem, kas saistīti ar PowerShell komandu izpildi viņu sistēmās. Tie arī gūst labumu no Windows nespējas noteikt un novērst kaitīgās darbības, ko izraisījis ielīmētais kods.
Pētnieku novērotās daudzveidīgās uzbrukumu ķēdes norāda, ka TA571 aktīvi pēta dažādas metodes, lai uzlabotu efektivitāti un atklātu papildu ceļus lielāka skaita sistēmu inficēšanai. Šī adaptīvā pieeja uzsver kibernoziedznieku apņemšanos attīstīt savu taktiku un paplašināt savu ietekmi kiberdrošības vidē.
