CORNFLAKE.V3 ब्याकडोर

धम्की दिने व्यक्तिहरूले परिष्कृत ब्याकडोर, CORNFLAKE.V3 वितरण गर्न ClickFix भनेर चिनिने भ्रामक प्रविधिको बढ्दो शोषण गरिरहेका छन्। UNC5518 नाम दिइएको गतिविधि ट्र्याक गर्ने सुरक्षा अनुसन्धानकर्ताहरूले यसलाई सेवाको रूपमा पहुँच गर्ने अपरेशनसँग जोडेका छन् जहाँ नक्कली CAPTCHA पृष्ठहरूले पीडितहरूलाई दुर्भावनापूर्ण आदेशहरू कार्यान्वयन गर्न झुक्याउँछन्। एक पटक पहुँच प्राप्त भएपछि, यसलाई थप शोषणको लागि पुन: बेचिन्छ वा अन्य साइबर अपराध समूहहरूसँग साझेदारी गरिन्छ।

आक्रमण कसरी सुरु हुन्छ

प्रयोगकर्ताहरूले SEO-विषाक्त खोज परिणामहरू वा दुर्भावनापूर्ण विज्ञापनहरूसँग अन्तर्क्रिया गर्दा प्रायः संक्रमण श्रृंखला सुरु हुन्छ। पीडितहरूलाई नक्कली CAPTCHA प्रमाणीकरण पृष्ठमा रिडिरेक्ट गरिन्छ, जुन Cloudflare को Turnstile वा अन्य वैध सेवाहरू जस्तै डिजाइन गरिएको हो। उनीहरूले प्रमाणीकरण चुनौती समाधान गरिरहेका छन् भन्ने विश्वास गर्दै, प्रयोगकर्ताहरूलाई Windows Run संवाद बक्समा दुर्भावनापूर्ण PowerShell स्क्रिप्ट प्रतिलिपि गरेर टाँस्न निर्देशित गरिन्छ, जसले आक्रमणकारीहरूलाई आवश्यक आधार प्रदान गर्दछ।

धम्की दिने अभिनेताको संलग्नता

UNC5518 अभियानहरूबाट चोरी गरिएको पहुँच कम्तिमा दुई फरक समूहहरूद्वारा प्रयोग गरिएको छ:

• UNC5774 - थप पेलोडहरू तैनाथ गर्न CORNFLAKE डेलिभर गर्ने आर्थिक रूपमा प्रेरित अभिनेता।
• UNC4108 - अस्पष्ट उद्देश्य भएको समूह, जसले VOLTMARKER र NetSupport RAT जस्ता मालवेयर छोड्न PowerShell प्रयोग गरेको अवलोकन गर्‍यो।

यसले कसरी ClickFix ले विभिन्न प्रकारका दुर्भावनापूर्ण फलो-अप गतिविधिहरूको लागि प्रवेशद्वारको रूपमा काम गर्छ भनेर देखाउँछ।

CORNFLAKE.V3 भित्र

CORNFLAKE.V3 ब्याकडोर जाभास्क्रिप्ट र PHP दुवै भेरियन्टहरूमा अवस्थित छ। यो निम्नको लागि डिजाइन गरिएको हो:

• कार्यान्वयनयोग्य, DLL, JavaScript, ब्याच फाइलहरू, र PowerShell आदेशहरू सहित HTTP मार्फत विभिन्न पेलोडहरू कार्यान्वयन गर्नुहोस्।
• आधारभूत प्रणाली डेटा सङ्कलन गर्नुहोस् र लुकाउनको लागि क्लाउडफ्लेयर टनेलहरू मार्फत आक्रमणकारी-नियन्त्रित सर्भरमा पठाउनुहोस्।

यसको पूर्ववर्ती V2 भन्दा फरक, जसले केवल डाउनलोडरको रूपमा काम गर्‍यो, V3 ले विन्डोज रजिस्ट्री रन कुञ्जीहरू परिमार्जन गरेर दृढता प्रस्तुत गर्दछ र पेलोडहरूको फराकिलो दायरालाई समर्थन गर्दछ। यस मार्फत कम्तिमा तीन पेलोडहरू वितरण गरिएको छ, जसमा समावेश छन्:

• एक सक्रिय निर्देशिका जासूसी उपकरण
• प्रमाणपत्र चोरीको लागि केर्बेरोस्टिङ स्क्रिप्ट

WINDYTWIST.SEA, रिभर्स शेल पहुँच, TCP ट्राफिक रिलेइङ, र पार्श्व आन्दोलन जस्ता क्षमताहरू भएको C-आधारित ब्याकडोर।

किन ClickFix खतरनाक छ?

क्लिकफिक्स विधिले साइबर अपराधी सर्कलहरूमा गति लिएको छ किनभने यो मानव अन्तरक्रियामा धेरै निर्भर गर्दछ। प्रयोगकर्ताहरूलाई धेरै स्वचालित सुरक्षा उपकरणहरूलाई बाइपास गर्दै, आफैं आदेशहरू चलाउन हेरफेर गरिन्छ। सामान्य डेलिभरी भेक्टरहरूमा समावेश छन्:

• फिसिङ इमेलहरू
• मालवर्टाइजिङ अभियानहरू
• ड्राइभ-बाई वेबसाइट सम्झौताहरू

विश्वसनीयता बढाउनको लागि, आक्रमणकारीहरूले प्रायः प्रसिद्ध ब्रान्डहरू, क्लाउडफ्लेयर जाँचहरू, वा डिस्कर्ड सर्भर प्रमाणीकरणहरूको पनि नक्कल गर्छन्।

क्लिकफिक्स किटहरूको व्यावसायीकरण

२०२४ को अन्त्यदेखि, क्लिकफिक्स बिल्डरहरू भूमिगत फोरमहरूमा देखा परेका छन्, जसलाई 'विन + आर' किटको रूपमा बजारमा ल्याइएको छ। सुविधाहरूको आधारमा मूल्यहरू सामान्यतया प्रति महिना $२०० देखि $१,५०० सम्म हुन्छन्। स्रोत कोड, ल्यान्डिङ पृष्ठहरू, वा कमाण्ड-लाइन स्क्रिप्टहरू जस्ता व्यक्तिगत कम्पोनेन्टहरू प्रायः $२००–$५०० मा छुट्टाछुट्टै बेचिन्छन्।

केही उन्नत किटहरूले क्लिकफिक्स बिल्डरहरूलाई अन्य मालवेयर लोडरहरूसँग बन्डल गर्छन् र प्रस्ताव गर्छन्:

• विभिन्न लुरहरू सहितको तयार ल्यान्डिङ पृष्ठहरू
• एन्टिभाइरस पत्ता लगाउने बाइपास गर्ने ग्यारेन्टी गरिएका आदेशहरू
• दृढता र स्मार्टस्क्रिन छल्ने विकल्पहरू

रक्षात्मक उपायहरू

क्लिकफिक्स-आधारित संक्रमणहरूको सामना गर्न, संस्थाहरूले सक्रिय प्रतिरक्षा अपनाउनु पर्छ। सिफारिस गरिएका चरणहरूमा समावेश छन्:

• सम्भव भएसम्म विन्डोज रन संवादलाई प्रतिबन्धित वा असक्षम गर्ने।
• प्रयोगकर्ताहरूलाई तालिम दिन नियमित फिसिङ र सामाजिक इन्जिनियरिङ सिमुलेशनहरू सञ्चालन गर्ने।
• असामान्य PowerShell वा स्क्रिप्ट कार्यान्वयनहरू छिटो पत्ता लगाउन बलियो लगिङ र अनुगमन लागू गर्दै।

रोकथाम र प्रारम्भिक पहिचान दुवैमा ध्यान केन्द्रित गरेर, संस्थाहरूले ClickFix र CORNFLAKE.V3 समावेश गर्ने अभियानहरूबाट उत्पन्न जोखिमलाई उल्लेखनीय रूपमा कम गर्न सक्छन्।