Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware CORNFLAKE.V3 Achterdeur

CORNFLAKE.V3 Achterdeur

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes
Vertalen naar:

Cybercriminelen maken steeds vaker gebruik van een misleidende techniek genaamd ClickFix om een geavanceerde backdoor, CORNFLAKE.V3, te verspreiden. Beveiligingsonderzoekers die de activiteit, aangeduid als UNC5518, volgen, hebben deze gekoppeld aan een 'access-as-a-service'-operatie waarbij neppe CAPTCHA-pagina's slachtoffers ertoe verleiden kwaadaardige opdrachten uit te voeren. Zodra toegang is verkregen, wordt de pagina doorverkocht of gedeeld met andere cybercriminele groepen voor verdere exploitatie.

Hoe de aanval begint

De infectieketen begint vaak wanneer gebruikers interacteren met SEO-vervuilde zoekresultaten of schadelijke advertenties. Slachtoffers worden doorgestuurd naar een nep-CAPTCHA-verificatiepagina, die lijkt op Cloudflare's Turnstile of andere legitieme diensten. In de veronderstelling dat ze een verificatieprobleem oplossen, worden gebruikers in plaats daarvan naar het kopiëren en plakken van een schadelijk PowerShell-script in het Windows-dialoogvenster Uitvoeren geleid, waardoor aanvallers de benodigde voet aan de grond krijgen.

Betrokkenheid van bedreigingsactoren

De gestolen toegang via UNC5518-campagnes is door minstens twee verschillende groepen misbruikt:

  • UNC5774 – een financieel gemotiveerde actor die CORNFLAKE levert om extra payloads te implementeren.
  • UNC4108 – een groep met onduidelijke motieven, waarvan is vastgesteld dat ze PowerShell gebruiken om malware zoals VOLTMARKER en NetSupport RAT te verspreiden.

Dit laat zien hoe ClickFix fungeert als toegangspoort voor allerlei schadelijke vervolgactiviteiten.

Binnen CORNFLAKE.V3

De CORNFLAKE.V3 backdoor bestaat in zowel JavaScript- als PHP-varianten. Hij is ontworpen om:

  • Voer verschillende payloads uit via HTTP, waaronder uitvoerbare bestanden, DLL's, JavaScript, batchbestanden en PowerShell-opdrachten.
  • Verzamel basisgegevens van het systeem en stuur deze via Cloudflare-tunnels naar een door een aanvaller beheerde server, zodat deze verborgen blijft.

In tegenstelling tot zijn voorganger V2, die alleen als downloader functioneerde, introduceert V3 persistentie door de Run-sleutels van het Windows-register aan te passen en ondersteunt het een breder scala aan payloads. Er zijn minstens drie payloads via V3 gedistribueerd, waaronder:

  • Een verkenningstool voor Active Directory
  • Een Kerberoasting-script voor diefstal van inloggegevens

WINDYTWIST.SEA, een C-gebaseerde backdoor met mogelijkheden zoals reverse shell-toegang, TCP-verkeersdoorgifte en laterale verplaatsing

Waarom ClickFix gevaarlijk is

De ClickFix-methode heeft aan populariteit gewonnen in cybercriminele kringen omdat deze sterk afhankelijk is van menselijke interactie. Gebruikers worden gemanipuleerd om zelf opdrachten uit te voeren, waarbij veel geautomatiseerde beveiligingstools worden omzeild. Veelvoorkomende manieren om opdrachten uit te voeren zijn:

  • Phishing-e-mails
  • Malvertisingcampagnes
  • Compromissen van drive-by-websites

Om hun geloofwaardigheid te vergroten, imiteren aanvallers vaak bekende merken, Cloudflare-controles of zelfs Discord-serververificaties.

Commercialisering van ClickFix-kits

Sinds eind 2024 zijn ClickFix-bouwers verschenen op ondergrondse forums, die worden aangeprezen als 'Win + R'-kits. Prijzen variëren doorgaans van $ 200 tot $ 1.500 per maand, afhankelijk van de functies. Individuele componenten, zoals broncode, landingspagina's of opdrachtregelscripts, worden vaak apart verkocht voor $ 200 tot $ 500.

Sommige geavanceerde kits bundelen ClickFix-builders met andere malware-loaders en bieden:

  • Kant-en-klare landingspagina's met verschillende lokmiddelen
  • Opdrachten die gegarandeerd de antivirusdetectie omzeilen
  • Opties voor persistentie en SmartScreen-ontwijking

Defensieve maatregelen

Om ClickFix-gebaseerde infecties tegen te gaan, moeten organisaties proactieve verdedigingsmaatregelen nemen. Aanbevolen stappen zijn onder meer:

  • Het beperken of uitschakelen van het Windows-dialoogvenster Uitvoeren waar mogelijk.
  • Regelmatig phishing- en social engineering-simulaties uitvoeren om gebruikers te trainen.
  • Implementeer robuuste logging en monitoring om snel ongebruikelijke PowerShell- of scriptuitvoeringen te detecteren.

Door te focussen op zowel preventie als vroege detectie, kunnen organisaties de risico's van campagnes met ClickFix en CORNFLAKE.V3 aanzienlijk verkleinen.

Trending

Meest bekeken

Bezig met laden...