CORNFLAKE.V3 Bakdør
Trusselaktører utnytter i økende grad en villedende teknikk kjent som ClickFix for å distribuere en sofistikert bakdør, CORNFLAKE.V3. Sikkerhetsforskere som sporer aktiviteten, betegnet UNC5518, har koblet den til en tilgang-som-en-tjeneste-operasjon der falske CAPTCHA-sider lurer ofre til å utføre ondsinnede kommandoer. Når tilgang er oppnådd, selges den videre eller deles med andre nettkriminelle grupper for videre utnyttelse.
Innholdsfortegnelse
Hvordan angrepet begynner
Infeksjonskjeden starter ofte når brukere samhandler med SEO-forgiftede søkeresultater eller ondsinnede annonser. Ofrene blir omdirigert til en falsk CAPTCHA-bekreftelsesside, designet for å ligne Cloudflares Turnstile eller andre legitime tjenester. I den tro at de løser en verifiseringsutfordring, blir brukerne i stedet veiledet til å kopiere og lime inn et ondsinnet PowerShell-skript i Windows Kjør-dialogboksen, noe som gir angriperne fotfestet de trenger.
Trusselaktørens involvering
Den stjålne tilgangen fra UNC5518-kampanjer har blitt utnyttet av minst to forskjellige grupper:
- UNC5774 – en økonomisk motivert aktør som leverer CORNFLAKE for å distribuere ytterligere nyttelast.
- UNC4108 – en gruppe med uklare motiver, observert ved bruk av PowerShell til å slippe skadevare som VOLTMARKER og NetSupport RAT.
Dette demonstrerer hvordan ClickFix fungerer som en inngangsport for en rekke ondsinnede oppfølgingsaktiviteter.
Inni CORNFLAKE.V3
CORNFLAKE.V3-bakdøren finnes i både JavaScript- og PHP-varianter. Den er designet for å:
- Kjør forskjellige nyttelaster via HTTP, inkludert kjørbare filer, DLL-er, JavaScript, batchfiler og PowerShell-kommandoer.
- Samle grunnleggende systemdata og send dem til en angriperkontrollert server gjennom Cloudflare-tunneler for skjuling.
I motsetning til forgjengeren V2, som kun fungerte som en nedlaster, introduserer V3 persistens ved å modifisere Windows Registry Run-nøkler og støtter et bredere spekter av nyttelaster. Minst tre nyttelaster har blitt distribuert gjennom den, inkludert:
- Et Active Directory-rekognoseringsverktøy
- Et Kerberoasting-skript for legitimasjonstyveri
WINDYTWIST.SEA, en C-basert bakdør med funksjoner som omvendt skalltilgang, videresending av TCP-trafikk og sideveis bevegelse
Hvorfor ClickFix er farlig
ClickFix-metoden har fått momentum i nettkriminelle kretser fordi den er sterkt avhengig av menneskelig interaksjon. Brukere manipuleres til å kjøre kommandoer selv, og omgår dermed mange automatiserte sikkerhetsverktøy. Vanlige leveringsvektorer inkluderer:
- Phishing-e-poster
- Skadelig reklamekampanjer
- Drive-by-nettstedskompromisser
For å øke troverdigheten utgir angripere seg ofte for å være kjente merkevarer, Cloudflare-sjekker eller til og med Discord-serververifiseringer.
Kommersialisering av ClickFix-sett
Siden slutten av 2024 har ClickFix-byggere dukket opp på undergrunnsfora, markedsført som «Win + R»-sett. Prisene varierer vanligvis fra $200 til $1500 per måned, avhengig av funksjonene. Individuelle komponenter, som kildekode, landingssider eller kommandolinjeskript, selges ofte separat for $200–$500.
Noen avanserte sett kombinerer ClickFix-byggere med andre skadevarelastere og tilbyr:
- Ferdige landingssider med forskjellige lokkemidler
- Kommandoer garantert å omgå antivirusdeteksjon
- Alternativer for vedvarende bruk og SmartScreen-unngåelse
Forsvarstiltak
For å motvirke ClickFix-baserte infeksjoner bør organisasjoner ta i bruk proaktive forsvarsmekanismer. Anbefalte tiltak inkluderer:
- Begrense eller deaktivere Windows Kjør-dialogboksen der det er mulig.
- Gjennomfører regelmessige phishing- og sosial manipuleringssimuleringer for å lære opp brukere.
- Implementering av robust logging og overvåking for raskt å oppdage uvanlige PowerShell- eller skriptkjøringer.
Ved å fokusere på både forebygging og tidlig oppdagelse, kan organisasjoner redusere risikoen som kampanjer som involverer ClickFix og CORNFLAKE.V3 utgjør betydelig.
