ClickFix Malware
हालैको मालवेयर वितरण रणनीतिले गुगल क्रोम, माइक्रोसफ्ट वर्ड र वनड्राइभ त्रुटिहरू जस्तै भ्रामक सूचनाहरू प्रयोग गर्दछ। यी नक्कली अलर्टहरूले प्रयोगकर्ताहरूलाई धम्की दिने PowerShell 'फिक्सहरू' कार्यान्वयन गर्न धोका दिने लक्ष्य राख्छन्, जसले अन्ततः मालवेयर स्थापना गर्दछ। यो अभियान ClearFake, ClickFix को रूपमा चिनिने नयाँ समूह, र कुख्यात TA571 खतरा अभिनेता संग सम्बन्धित विभिन्न खतरा अभिनेताहरु द्वारा पहिचान र प्रयोग गरिएको छ। TA571 स्प्याम वितरकको रूपमा यसको भूमिकाका लागि परिचित छ, इमेलहरूको ठूलो मात्रा फैलाउन जिम्मेवार छ जसले प्राय: मालवेयर र ransomware संक्रमणहरू निम्त्याउँछ।
पहिले, क्लियरफेक आक्रमणहरूमा वेबसाइट ओभरलेहरू समावेश थिए जसले आगन्तुकहरूलाई नक्कली ब्राउजर अपडेटहरूको रूपमा पोज गरेर मालवेयर स्थापना गर्न धोका दियो।
सामग्रीको तालिका
नक्कली त्रुटि अलर्टहरूले मालवेयर खतराहरू डेलिभर गर्न सक्छ
रिपोर्ट गरिएका आक्रमणहरूमा, खतरा कर्ताहरूले HTML संलग्नकहरू र सम्झौता गरिएका वेबसाइटहरूमा सम्मिलित JavaScript समावेश गर्न आफ्नो विधिहरू विस्तार गरेका छन्। यी रणनीतिहरूमा अब ओभरलेहरू समावेश छन् जसले गुगल क्रोम, माइक्रोसफ्ट वर्ड र वनड्राइभबाट नक्कली त्रुटिहरू अनुकरण गर्दछ। यी भ्रामक अलर्टहरूले आगन्तुकहरूलाई उनीहरूको क्लिपबोर्डमा PowerShell 'फिक्स' प्रतिलिपि गर्न बटनमा क्लिक गर्न आग्रह गर्दछ, तिनीहरूलाई टाँस्न र यसलाई चलाउने संवाद वा PowerShell प्रम्प्टमा कार्यान्वयन गर्न निर्देशन दिन्छ।
यो आक्रमण चेन महत्त्वपूर्ण प्रयोगकर्ता अन्तरक्रियामा निर्भर हुँदा, यसको सामाजिक इन्जिनियरिङले प्रयोगकर्ताहरूलाई वास्तविक समस्या र समाधान एकै साथ प्रस्तुत गर्न पर्याप्त परिष्कृत छ। यसले प्रयोगकर्ताहरूलाई सम्बन्धित जोखिमहरूको पूर्ण मूल्याङ्कन नगरी हतारमा कार्य गर्न बाध्य तुल्याउन सक्छ। Infosec अनुसन्धानकर्ताहरूले यी आक्रमणहरूमा प्रयोग गरिएका धेरै पेलोडहरू पहिचान गरेका छन्, जसमा DarkGate , Matanbuchus , NetSupport , Amadey Loder , XMRig , एक क्लिपबोर्ड अपहरणकर्ता, र Lumma Stealer ।
धोखाधडी स्क्रिप्टहरूले प्रयोगकर्ताहरूको उपकरणहरूमा मालवेयर छोड्छ
विश्लेषकहरूले तीनवटा अलग आक्रमण चेनहरू पहिचान गरेका छन् जुन मुख्य रूपमा तिनीहरूको प्रारम्भिक चरणहरूद्वारा छुट्याइएका छन्, पहिलो मात्र TA571 सँग निश्चित रूपमा लिङ्क गरिएको छैन।
यो पहिलो परिदृश्यमा, ClearFake मा जडान भएका खतरा अभिनेताहरूसँग सम्बन्धित, प्रयोगकर्ताहरूले Binance को स्मार्ट चेन अनुबंधहरू मार्फत ब्लकचेनमा होस्ट गरिएका मालिसियस स्क्रिप्टहरू लोड गर्ने सम्झौता गरिएका वेबसाइटहरू भ्रमण गर्छन्। यी स्क्रिप्टहरूले जाँचहरू सञ्चालन गर्छन् र वेब पृष्ठ प्रदर्शनमा समस्याहरू दावी गर्ने नक्कली Google Chrome अलर्टहरू ट्रिगर गर्छन्। त्यसपछि संवादले आगन्तुकहरूलाई Windows क्लिपबोर्डमा PowerShell स्क्रिप्ट प्रतिलिपि गरेर र Windows PowerShell (Admin) कन्सोलमा कार्यान्वयन गरेर 'मूल प्रमाणपत्र' स्थापना गर्न प्रेरित गर्छ।
कार्यान्वयनमा, PowerShell स्क्रिप्टले लक्षित यन्त्रलाई प्रमाणित गर्दछ। यसले DNS क्यास फ्लस गर्ने, क्लिपबोर्डका सामग्रीहरू खाली गर्ने, विचलित सन्देश प्रदर्शन गर्ने र रिमोट PowerShell स्क्रिप्ट डाउनलोड गर्ने जस्ता कार्यहरू गर्न अगाडि बढ्छ। यो स्क्रिप्ट, बारीमा, सूचना चोर्ने पेलोडको डाउनलोड प्रारम्भ गर्नु अघि एन्टी-VM जाँचहरू सञ्चालन गर्दछ।
क्लिकफिक्स र लुर इमेलहरू वैकल्पिक आक्रमण चेनहरूको रूपमा प्रयोग गरिन्छ
दोस्रो आक्रमण श्रृंखला 'ClickFix' अभियानसँग जोडिएको छ, जसले नक्कली गुगल क्रोम त्रुटि प्रस्तुत गर्ने iframe ओभरले सिर्जना गर्न सम्झौता गरिएका साइटहरूमा वेबसाइट इन्जेक्सनहरू प्रयोग गर्दछ। प्रयोगकर्ताहरूलाई 'Windows PowerShell (Admin)' खोल्न र प्रदान गरिएको कोड टाँस्न निर्देशन दिइन्छ, जसको परिणामस्वरूप पहिले उल्लेख गरिएका उही संक्रमणहरू हुन्छन्।
अर्को संक्रमण विधिले माइक्रोसफ्ट वर्ड कागजातहरू जस्तै HTML संलग्नकहरू प्रयोग गरेर इमेल-आधारित आक्रमणहरू समावेश गर्दछ। प्रयोगकर्ताहरूलाई कागजात सही रूपमा हेर्नको लागि 'वर्ड अनलाइन' एक्सटेन्सन स्थापना गर्न प्रेरित गरिन्छ। त्रुटि सन्देशले 'कसरी समाधान गर्ने' र 'स्वत: समाधान' विकल्पहरू प्रदान गर्दछ। 'कसरी समाधान गर्ने' चयन गर्नाले प्रयोगकर्ताहरूलाई PowerShell मा टाँस्न निर्देशन दिँदै, क्लिपबोर्डमा base64-इन्कोड गरिएको PowerShell आदेश प्रतिलिपि गर्दछ। 'Auto-fix' ले रिमोट आक्रमणकर्ता-नियन्त्रित फाइल साझेदारीबाट WebDAV-होस्ट गरिएको 'fix.msi' वा 'fix.vbs' फाइल प्रदर्शन गर्न खोज-ms प्रोटोकल प्रयोग गर्दछ। यी उदाहरणहरूमा, PowerShell ले MSI फाइल वा VBS स्क्रिप्ट डाउनलोड र कार्यान्वयन गर्न आदेश दिन्छ, जसले क्रमशः Matanbuchus वा DarkGate लाई संक्रमण गर्दछ।
यी सबै आक्रमणहरूमा, धम्की कारकहरूले तिनीहरूको प्रणालीहरूमा PowerShell आदेशहरू कार्यान्वयन गर्न सम्बन्धित जोखिमहरूको बारेमा प्रयोगकर्ताहरूको चेतनाको कमीको शोषण गर्छन्। तिनीहरूले पेस्ट गरिएको कोडद्वारा ट्रिगर गरिएका हानिकारक कार्यहरू पत्ता लगाउन र रोक्न विन्डोजको असक्षमतालाई पनि पूंजीकृत गर्छन्।
अन्वेषकहरूले अवलोकन गरेका विविध आक्रमण चेनहरूले संकेत गर्दछ कि TA571 प्रभावकारिता बढाउन र धेरै संख्यामा प्रणालीहरूलाई संक्रमित गर्न थप मार्गहरू पत्ता लगाउन सक्रिय रूपमा विविध विधिहरू खोजिरहेको छ। यो अनुकूली दृष्टिकोणले साइबर अपराधीहरूको रणनीतिहरू विकास गर्न र साइबर सुरक्षा परिदृश्य भित्र तिनीहरूको प्रभाव विस्तार गर्ने प्रतिबद्धतालाई जोड दिन्छ।
