ClickFix Malware
Een recente strategie voor de distributie van malware maakt gebruik van misleidende meldingen die lijken op Google Chrome-, Microsoft Word- en OneDrive-fouten. Deze valse waarschuwingen zijn bedoeld om gebruikers te misleiden zodat ze bedreigende PowerShell-fixes uitvoeren, die uiteindelijk malware installeren. Deze campagne is geïdentificeerd en gebruikt door verschillende bedreigingsactoren, waaronder degenen die banden hebben met ClearFake, een nieuwe groep die bekend staat als ClickFix, en de beruchte TA571-dreigingsacteur. TA571 staat bekend om zijn rol als spamdistributeur, verantwoordelijk voor het verspreiden van grote hoeveelheden e-mails die vaak leiden tot besmettingen met malware en ransomware.
Voorheen maakten ClearFake-aanvallen gebruik van website-overlays die bezoekers ertoe verleidden malware te installeren door zich voor te doen als nep-browserupdates.
Inhoudsopgave
Valse foutwaarschuwingen kunnen malwarebedreigingen opleveren
Bij de gerapporteerde aanvallen hebben bedreigingsactoren hun methoden uitgebreid met JavaScript ingebed in HTML-bijlagen en gecompromitteerde websites. Deze tactieken omvatten nu overlays die valse fouten van Google Chrome, Microsoft Word en OneDrive simuleren. Deze misleidende waarschuwingen sporen bezoekers aan om op een knop te klikken om een PowerShell-fix naar hun klembord te kopiëren, waarbij ze worden geïnstrueerd deze te plakken en uit te voeren in een dialoogvenster Uitvoeren of in een PowerShell-prompt.
Hoewel deze aanvalsketen afhankelijk is van aanzienlijke gebruikersinteractie, is de social engineering ervan geavanceerd genoeg om gebruikers tegelijkertijd te voorzien van wat een echt probleem en een echte oplossing lijkt. Dit kan gebruikers ertoe aanzetten overhaast te handelen zonder de bijbehorende risico's volledig in te schatten. Onderzoekers van Infosec hebben verschillende payloads geïdentificeerd die bij deze aanvallen worden gebruikt, waaronder DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , een klembordkaper en de Lumma Stealer .
Frauduleuze scripts brengen malware naar de apparaten van gebruikers
Analisten hebben drie verschillende aanvalsketens geïdentificeerd die zich voornamelijk onderscheiden door hun beginfase, waarbij alleen de eerste niet definitief gekoppeld is aan TA571.
In dit eerste scenario, dat verband houdt met bedreigingsactoren die verbonden zijn met ClearFake, bezoeken gebruikers gecompromitteerde websites die kwaadaardige scripts laden die op de blockchain worden gehost via de Smart Chain-contracten van Binance. Deze scripts voeren controles uit en activeren valse Google Chrome-waarschuwingen waarin problemen met de weergave van webpagina's worden geclaimd. Het dialoogvenster vraagt bezoekers vervolgens om een 'rootcertificaat' te installeren door een PowerShell-script naar het Windows-klembord te kopiëren en dit uit te voeren in een Windows PowerShell-console (Admin).
Bij uitvoering valideert het PowerShell-script het doelapparaat. Het gaat verder met het uitvoeren van acties zoals het leegmaken van de DNS-cache, het wissen van de inhoud van het klembord, het weergeven van een afleidingsbericht en het downloaden van een extern PowerShell-script. Dit script voert op zijn beurt anti-VM-controles uit voordat het downloaden van een informatiestelende payload wordt gestart.
ClickFix- en Lure-e-mails worden gebruikt als alternatieve aanvalsketens
De tweede aanvalsketen is gekoppeld aan de 'ClickFix'-campagne, waarbij gebruik wordt gemaakt van website-injecties op besmette sites om een iframe-overlay te creëren die een valse Google Chrome-fout weergeeft. Gebruikers wordt gevraagd 'Windows PowerShell (Admin)' te openen en de meegeleverde code te plakken, wat resulteert in dezelfde eerder genoemde infecties.
Een andere infectiemethode omvat aanvallen via e-mail met behulp van HTML-bijlagen die lijken op Microsoft Word-documenten. Gebruikers wordt gevraagd de extensie 'Word Online' te installeren om het document correct te kunnen bekijken. Het foutbericht biedt opties voor 'Oplossen' en 'Automatisch repareren'. Als u 'Hoe op te lossen' selecteert, wordt een met base64 gecodeerde PowerShell-opdracht naar het klembord gekopieerd, waarbij gebruikers worden geïnstrueerd deze in PowerShell te plakken. 'Auto-fix' maakt gebruik van het search-ms-protocol om een door WebDAV gehost 'fix.msi'- of 'fix.vbs'-bestand weer te geven vanaf een door een externe aanvaller bestuurde bestandsshare. In deze gevallen downloaden en voeren de PowerShell-opdrachten een MSI-bestand of een VBS-script uit, wat leidt tot infecties door respectievelijk Matanbuchus of DarkGate.
Tijdens deze aanvallen maken bedreigingsactoren misbruik van het gebrek aan bewustzijn van gebruikers over de risico's die gepaard gaan met het uitvoeren van PowerShell-opdrachten op hun systemen. Ze profiteren ook van het onvermogen van Windows om de schadelijke acties die door de geplakte code worden veroorzaakt, te detecteren en te voorkomen.
De gevarieerde aanvalsketens die door onderzoekers zijn waargenomen, geven aan dat TA571 actief diverse methoden onderzoekt om de werkzaamheid te verbeteren en aanvullende routes te ontdekken voor het infecteren van een groter aantal systemen. Deze adaptieve aanpak onderstreept de toewijding van cybercriminelen om hun tactieken te ontwikkelen en hun impact binnen het cyberbeveiligingslandschap uit te breiden.
