ClickFix Malware
En nylig distribusjonsstrategi for skadelig programvare bruker villedende varsler som ligner Google Chrome, Microsoft Word og OneDrive-feil. Disse falske varslene tar sikte på å lure brukere til å utføre truende PowerShell-reparasjoner, som til slutt installerer skadelig programvare. Denne kampanjen har blitt identifisert og brukt av ulike trusselaktører, inkludert de som er tilknyttet ClearFake, en ny gruppe kjent som ClickFix, og den beryktede TA571-trusselsaktøren. TA571 er kjent for sin rolle som spam-distributør, ansvarlig for å spre store mengder e-poster som ofte fører til skadelig programvare og løsepenge-infeksjoner.
Tidligere involverte ClearFake-angrep nettstedoverlegg som lurte besøkende til å installere skadelig programvare ved å utgi seg for falske nettleseroppdateringer.
Innholdsfortegnelse
Falske feilvarsler kan gi trusler om skadelig programvare
I de rapporterte angrepene har trusselaktører utvidet metodene sine til å inkludere JavaScript innebygd i HTML-vedlegg og kompromitterte nettsteder. Disse taktikkene involverer nå overlegg som simulerer falske feil fra Google Chrome, Microsoft Word og OneDrive. Disse villedende varslene oppfordrer besøkende til å klikke på en knapp for å kopiere en PowerShell-reparasjon til utklippstavlen, og instruere dem om å lime inn og kjøre den enten i en Kjør-dialog eller PowerShell-prompt.
Selv om denne angrepskjeden er avhengig av betydelig brukerinteraksjon, er dens sosiale konstruksjon sofistikert nok til å presentere brukere for det som ser ut til å være et genuint problem og en løsning samtidig. Dette kan tvinge brukere til å handle raskt uten å vurdere de tilknyttede risikoene fullt ut. Infosec-forskere har identifisert flere nyttelaster brukt i disse angrepene, inkludert DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , en utklippstavlekaprer og Lumma Stealer .
Uredelige skript slipper skadelig programvare til brukernes enheter
Analytikere har identifisert tre forskjellige angrepskjeder primært kjennetegnet ved deres innledende stadier, med bare den første som ikke er definitivt knyttet til TA571.
I dette første scenariet, assosiert med trusselaktører koblet til ClearFake, besøker brukere kompromitterte nettsteder som laster ondsinnede skript som er vert på blokkjeden via Binances Smart Chain-kontrakter. Disse skriptene utfører kontroller og utløser falske Google Chrome-varsler som hevder problemer med websidevisning. Dialogen ber deretter besøkende om å installere et "rotsertifikat" ved å kopiere et PowerShell-skript til Windows-utklippstavlen og kjøre det i en Windows PowerShell (admin)-konsoll.
Ved kjøring validerer PowerShell-skriptet målenheten. Den fortsetter med å utføre handlinger som å tømme DNS-bufferen, tømme utklippstavlens innhold, vise en distraksjonsmelding og laste ned et eksternt PowerShell-skript. Dette skriptet utfører på sin side anti-VM-kontroller før du starter nedlastingen av en nyttelast som stjeler informasjon.
ClickFix og Lure-e-poster som brukes som alternative angrepskjeder
Den andre angrepskjeden er knyttet til «ClickFix»-kampanjen, som bruker nettstedinjeksjoner på kompromitterte nettsteder for å lage et iframe-overlegg som presenterer en falsk Google Chrome-feil. Brukere blir bedt om å åpne 'Windows PowerShell (Admin)' og lime inn den medfølgende koden, noe som resulterer i de samme infeksjonene nevnt tidligere.
En annen infeksjonsmetode involverer e-postbaserte angrep ved å bruke HTML-vedlegg som ligner Microsoft Word-dokumenter. Brukere blir bedt om å installere 'Word Online'-utvidelsen for å se dokumentet på riktig måte. Feilmeldingen gir alternativene "Hvordan fikser" og "Autofiks". Ved å velge "Hvordan repareres" kopieres en base64-kodet PowerShell-kommando til utklippstavlen, og instruerer brukere om å lime den inn i PowerShell. 'Auto-fix' bruker search-ms-protokollen for å vise en WebDAV-hostet 'fix.msi'- eller 'fix.vbs'-fil fra en ekstern angriperkontrollert fildeling. I disse tilfellene laster PowerShell-kommandoene ned og kjører enten en MSI-fil eller et VBS-skript, noe som fører til infeksjoner av henholdsvis Matanbuchus eller DarkGate.
Gjennom disse angrepene utnytter trusselaktører brukernes manglende bevissthet angående risikoen forbundet med å utføre PowerShell-kommandoer på systemene deres. De utnytter også Windows' manglende evne til å oppdage og forhindre de skadelige handlingene som utløses av den limte koden.
De varierte angrepskjedene observert av forskere indikerer at TA571 aktivt utforsker ulike metoder for å forbedre effektiviteten og oppdage flere veier for å infisere et større antall systemer. Denne adaptive tilnærmingen understreker cyberkriminelles forpliktelse til å utvikle taktikken deres og utvide deres innvirkning innenfor cybersikkerhetslandskapet.
