ClickFix Malware
Strategi pengedaran perisian hasad baru-baru ini menggunakan pemberitahuan mengelirukan yang menyerupai ralat Google Chrome, Microsoft Word dan OneDrive. Makluman palsu ini bertujuan untuk memperdaya pengguna supaya melaksanakan 'pembetulan' PowerShell yang mengancam, yang akhirnya memasang perisian hasad. Kempen ini telah dikenal pasti dan digunakan oleh pelbagai pelakon ancaman, termasuk yang dikaitkan dengan ClearFake, kumpulan baharu yang dikenali sebagai ClickFix, dan pelakon ancaman TA571 yang terkenal. TA571 terkenal dengan peranannya sebagai pengedar spam, bertanggungjawab untuk menyebarkan sejumlah besar e-mel yang sering membawa kepada jangkitan perisian hasad dan perisian tebusan.
Sebelum ini, serangan ClearFake melibatkan tindanan tapak web yang memperdaya pelawat untuk memasang perisian hasad dengan menyamar sebagai kemas kini pelayar palsu.
Isi kandungan
Makluman Ralat Palsu Boleh Menyampaikan Ancaman Peribadi
Dalam serangan yang dilaporkan, pelaku ancaman telah mengembangkan kaedah mereka untuk memasukkan JavaScript yang dibenamkan dalam lampiran HTML dan tapak web yang terjejas. Taktik ini kini melibatkan tindanan yang mensimulasikan ralat palsu daripada Google Chrome, Microsoft Word dan OneDrive. Makluman mengelirukan ini menggesa pelawat mengklik butang untuk menyalin 'pembetulan' PowerShell ke papan keratan mereka, mengarahkan mereka menampal dan melaksanakannya sama ada dalam dialog Jalankan atau gesaan PowerShell.
Walaupun rantaian serangan ini bergantung pada interaksi pengguna yang ketara, kejuruteraan sosialnya cukup canggih untuk membentangkan pengguna dengan apa yang kelihatan sebagai masalah dan penyelesaian tulen secara serentak. Ini boleh memaksa pengguna untuk bertindak tergesa-gesa tanpa menilai sepenuhnya risiko yang berkaitan. Penyelidik Infosec telah mengenal pasti beberapa muatan yang digunakan dalam serangan ini, termasuk DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , perampas papan keratan dan Lumma Stealer .
Skrip Penipuan Menggugurkan Perisian Hasad ke Peranti Pengguna
Penganalisis telah mengenal pasti tiga rantaian serangan yang berbeza terutamanya dibezakan oleh peringkat awalnya, dengan hanya yang pertama tidak dikaitkan secara muktamad dengan TA571.
Dalam senario pertama ini, dikaitkan dengan pelaku ancaman yang disambungkan kepada ClearFake, pengguna melawati tapak web yang terjejas yang memuatkan skrip berniat jahat yang dihoskan pada rantaian blok melalui kontrak Smart Chain Binance. Skrip ini menjalankan semakan dan mencetuskan makluman Google Chrome palsu yang mendakwa isu dengan paparan halaman Web. Dialog itu kemudiannya menggesa pelawat memasang 'sijil akar' dengan menyalin skrip PowerShell ke Papan Klip Windows dan melaksanakannya dalam konsol Windows PowerShell (Pentadbir).
Selepas pelaksanaan, skrip PowerShell mengesahkan peranti sasaran. Ia meneruskan untuk melakukan tindakan seperti membuang cache DNS, mengosongkan kandungan papan keratan, memaparkan mesej gangguan dan memuat turun skrip PowerShell jauh. Skrip ini, seterusnya, menjalankan semakan anti-VM sebelum memulakan muat turun muatan mencuri maklumat.
E-mel ClickFix dan Lure Digunakan sebagai Rantaian Serangan Alternatif
Rantaian serangan kedua dipautkan kepada kempen 'ClickFix', menggunakan suntikan tapak web pada tapak yang terjejas untuk mencipta tindanan iframe yang menunjukkan ralat Google Chrome palsu. Pengguna diarahkan untuk membuka 'Windows PowerShell (Admin)' dan menampal kod yang disediakan, mengakibatkan jangkitan yang sama yang dinyatakan sebelum ini.
Kaedah jangkitan lain melibatkan serangan berasaskan e-mel menggunakan lampiran HTML yang menyerupai dokumen Microsoft Word. Pengguna digesa untuk memasang sambungan 'Word Online' untuk melihat dokumen dengan betul. Mesej ralat menyediakan pilihan 'Cara membetulkan' dan 'Membetulkan automatik'. Memilih 'Cara membetulkan' menyalin perintah PowerShell yang dikodkan base64 ke papan keratan, mengarahkan pengguna untuk menampalnya ke dalam PowerShell. 'Auto-pembetulan' menggunakan protokol carian-ms untuk memaparkan fail 'fix.msi' atau 'fix.vbs' yang dihoskan WebDAV daripada bahagian fail dikawal penyerang jauh. Dalam keadaan ini, PowerShell memerintahkan memuat turun dan melaksanakan sama ada fail MSI atau skrip VBS, masing-masing membawa kepada jangkitan oleh Matanbuchus atau DarkGate.
Sepanjang serangan ini, pelaku ancaman mengeksploitasi kekurangan kesedaran pengguna mengenai risiko yang berkaitan dengan melaksanakan perintah PowerShell pada sistem mereka. Mereka juga memanfaatkan ketidakupayaan Windows untuk mengesan dan menghalang tindakan berbahaya yang dicetuskan oleh kod yang ditampal.
Rantaian serangan yang berbeza-beza yang diperhatikan oleh penyelidik menunjukkan bahawa TA571 sedang aktif meneroka pelbagai kaedah untuk meningkatkan keberkesanan dan menemui laluan tambahan untuk menjangkiti lebih banyak sistem. Pendekatan penyesuaian ini menekankan komitmen penjenayah siber untuk mengembangkan taktik mereka dan mengembangkan kesan mereka dalam landskap keselamatan siber.
