ClickFix Malware

ਇੱਕ ਹਾਲੀਆ ਮਾਲਵੇਅਰ ਵੰਡ ਰਣਨੀਤੀ ਗੂਗਲ ਕਰੋਮ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਰਡ ਅਤੇ ਵਨਡ੍ਰਾਇਵ ਤਰੁੱਟੀਆਂ ਵਰਗੀਆਂ ਧੋਖੇਬਾਜ਼ ਸੂਚਨਾਵਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੀ ਹੈ। ਇਹਨਾਂ ਜਾਅਲੀ ਚੇਤਾਵਨੀਆਂ ਦਾ ਉਦੇਸ਼ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ PowerShell 'ਫਿਕਸ' ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਧੋਖਾ ਦੇਣਾ ਹੈ, ਜੋ ਆਖਿਰਕਾਰ ਮਾਲਵੇਅਰ ਸਥਾਪਤ ਕਰਦੇ ਹਨ। ਇਸ ਮੁਹਿੰਮ ਦੀ ਪਛਾਣ ਵੱਖ-ਵੱਖ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਹੈ ਅਤੇ ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਜਿਸ ਵਿੱਚ ਕਲੀਅਰਫੇਕ, ਕਲਿਕਫਿਕਸ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਨਵਾਂ ਸਮੂਹ, ਅਤੇ ਬਦਨਾਮ TA571 ਧਮਕੀ ਅਦਾਕਾਰ ਨਾਲ ਸਬੰਧਿਤ ਹਨ। TA571 ਇੱਕ ਸਪੈਮ ਵਿਤਰਕ ਵਜੋਂ ਆਪਣੀ ਭੂਮਿਕਾ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਵੱਡੀ ਮਾਤਰਾ ਵਿੱਚ ਈਮੇਲਾਂ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ ਜੋ ਅਕਸਰ ਮਾਲਵੇਅਰ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਦੀ ਲਾਗ ਦਾ ਕਾਰਨ ਬਣਦੇ ਹਨ।

ਪਹਿਲਾਂ, ਕਲੀਅਰਫੇਕ ਹਮਲਿਆਂ ਵਿੱਚ ਵੈਬਸਾਈਟ ਓਵਰਲੇਅ ਸ਼ਾਮਲ ਸਨ ਜੋ ਜਾਅਲੀ ਬ੍ਰਾਊਜ਼ਰ ਅਪਡੇਟਾਂ ਵਜੋਂ ਪੇਸ਼ ਕਰਕੇ ਮਾਲਵੇਅਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਵਿਜ਼ਿਟਰਾਂ ਨੂੰ ਧੋਖਾ ਦਿੰਦੇ ਸਨ।

ਜਾਅਲੀ ਗਲਤੀ ਚੇਤਾਵਨੀਆਂ ਮਾਲਵੇਅਰ ਧਮਕੀਆਂ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦੀਆਂ ਹਨ

ਰਿਪੋਰਟ ਕੀਤੇ ਗਏ ਹਮਲਿਆਂ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ HTML ਅਟੈਚਮੈਂਟਾਂ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈਬਸਾਈਟਾਂ ਵਿੱਚ ਏਮਬੈਡਡ JavaScript ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਆਪਣੇ ਤਰੀਕਿਆਂ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਹੈ। ਇਹਨਾਂ ਚਾਲਾਂ ਵਿੱਚ ਹੁਣ ਓਵਰਲੇ ਸ਼ਾਮਲ ਹਨ ਜੋ ਗੂਗਲ ਕਰੋਮ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਰਡ ਅਤੇ ਵਨਡ੍ਰਾਈਵ ਤੋਂ ਜਾਅਲੀ ਗਲਤੀਆਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਇਹ ਧੋਖੇਬਾਜ਼ ਚੇਤਾਵਨੀਆਂ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਆਪਣੇ ਕਲਿੱਪਬੋਰਡ ਵਿੱਚ PowerShell 'ਫਿਕਸ' ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਇੱਕ ਬਟਨ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਦੀ ਤਾਕੀਦ ਕਰਦੀਆਂ ਹਨ, ਉਹਨਾਂ ਨੂੰ ਇਸਨੂੰ ਰਨ ਡਾਇਲਾਗ ਜਾਂ PowerShell ਪ੍ਰੋਂਪਟ ਵਿੱਚ ਪੇਸਟ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦੀਆਂ ਹਨ।

ਹਾਲਾਂਕਿ ਇਹ ਅਟੈਕ ਚੇਨ ਮਹੱਤਵਪੂਰਨ ਉਪਭੋਗਤਾ ਆਪਸੀ ਤਾਲਮੇਲ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ, ਇਸਦੀ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪੇਸ਼ ਕਰਨ ਲਈ ਕਾਫ਼ੀ ਵਧੀਆ ਹੈ ਜੋ ਇੱਕ ਅਸਲ ਸਮੱਸਿਆ ਅਤੇ ਇੱਕੋ ਸਮੇਂ ਹੱਲ ਜਾਪਦੀ ਹੈ। ਇਹ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਬੰਧਿਤ ਜੋਖਮਾਂ ਦਾ ਪੂਰੀ ਤਰ੍ਹਾਂ ਮੁਲਾਂਕਣ ਕੀਤੇ ਬਿਨਾਂ ਜਲਦਬਾਜ਼ੀ ਵਿੱਚ ਕੰਮ ਕਰਨ ਲਈ ਮਜਬੂਰ ਕਰ ਸਕਦਾ ਹੈ। Infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੇ ਗਏ ਕਈ ਪੇਲੋਡਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਡਾਰਕਗੇਟ , ਮੈਟਾਨਬੁਚਸ , ਨੈੱਟਸਪੋਰਟ , ਅਮੇਡੇ ਲੋਡਰ , ਐਕਸਐਮਆਰਆਈਗ , ਇੱਕ ਕਲਿੱਪਬੋਰਡ ਹਾਈਜੈਕਰ, ਅਤੇ ਲੂਮਾ ਸਟੀਲਰ ਸ਼ਾਮਲ ਹਨ।

ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਸਕ੍ਰਿਪਟਾਂ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਮਾਲਵੇਅਰ ਸੁੱਟਦੀਆਂ ਹਨ

ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਤਿੰਨ ਵੱਖ-ਵੱਖ ਅਟੈਕ ਚੇਨਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜੋ ਮੁੱਖ ਤੌਰ 'ਤੇ ਉਨ੍ਹਾਂ ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੜਾਵਾਂ ਦੁਆਰਾ ਵੱਖਰੀਆਂ ਹਨ, ਸਿਰਫ ਪਹਿਲੀਆਂ ਨੂੰ TA571 ਨਾਲ ਨਿਸ਼ਚਤ ਤੌਰ 'ਤੇ ਜੋੜਿਆ ਨਹੀਂ ਗਿਆ ਹੈ।

ਇਸ ਪਹਿਲੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ, ਕਲੀਅਰਫੇਕ ਨਾਲ ਜੁੜੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨਾਲ ਜੁੜੇ, ਉਪਭੋਗਤਾ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈਬਸਾਈਟਾਂ 'ਤੇ ਜਾਂਦੇ ਹਨ ਜੋ Binance ਦੇ ਸਮਾਰਟ ਚੇਨ ਕੰਟਰੈਕਟਸ ਦੁਆਰਾ ਬਲਾਕਚੈਨ 'ਤੇ ਹੋਸਟ ਕੀਤੀਆਂ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਲੋਡ ਕਰਦੀਆਂ ਹਨ। ਇਹ ਸਕ੍ਰਿਪਟਾਂ ਜਾਂਚਾਂ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਵੈੱਬ ਪੇਜ ਡਿਸਪਲੇ ਨਾਲ ਸਮੱਸਿਆਵਾਂ ਦਾ ਦਾਅਵਾ ਕਰਨ ਵਾਲੀਆਂ ਜਾਅਲੀ ਗੂਗਲ ਕਰੋਮ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਚਾਲੂ ਕਰਦੀਆਂ ਹਨ। ਡਾਇਲਾਗ ਫਿਰ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਵਿੰਡੋਜ਼ ਕਲਿੱਪਬੋਰਡ ਵਿੱਚ ਕਾਪੀ ਕਰਕੇ ਅਤੇ ਇਸਨੂੰ ਇੱਕ Windows PowerShell (ਐਡਮਿਨ) ਕੰਸੋਲ ਵਿੱਚ ਚਲਾਉਣ ਦੁਆਰਾ ਇੱਕ 'ਰੂਟ ਸਰਟੀਫਿਕੇਟ' ਸਥਾਪਤ ਕਰਨ ਲਈ ਪ੍ਰੇਰਦਾ ਹੈ।

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੋਣ 'ਤੇ, PowerShell ਸਕ੍ਰਿਪਟ ਟਾਰਗੇਟ ਡਿਵਾਈਸ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦੀ ਹੈ। ਇਹ ਕਾਰਵਾਈਆਂ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ ਜਿਵੇਂ ਕਿ DNS ਕੈਸ਼ ਨੂੰ ਫਲੱਸ਼ ਕਰਨਾ, ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀ ਨੂੰ ਸਾਫ਼ ਕਰਨਾ, ਇੱਕ ਭਟਕਣਾ ਸੁਨੇਹਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨਾ ਅਤੇ ਇੱਕ ਰਿਮੋਟ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨਾ। ਇਹ ਸਕ੍ਰਿਪਟ, ਬਦਲੇ ਵਿੱਚ, ਇੱਕ ਜਾਣਕਾਰੀ-ਚੋਰੀ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਐਂਟੀ-VM ਜਾਂਚਾਂ ਦਾ ਸੰਚਾਲਨ ਕਰਦੀ ਹੈ।

ਕਲਿਕਫਿਕਸ ਅਤੇ ਲੂਰ ਈਮੇਲਾਂ ਨੂੰ ਵਿਕਲਪਕ ਹਮਲੇ ਦੀਆਂ ਚੇਨਾਂ ਵਜੋਂ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ

ਦੂਜੀ ਅਟੈਕ ਚੇਨ 'ਕਲਿੱਕਫਿਕਸ' ਮੁਹਿੰਮ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਨਕਲੀ ਗੂਗਲ ਕਰੋਮ ਗਲਤੀ ਨੂੰ ਪੇਸ਼ ਕਰਦੇ ਹੋਏ ਇੱਕ iframe ਓਵਰਲੇ ਬਣਾਉਣ ਲਈ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਸਾਈਟਾਂ 'ਤੇ ਵੈੱਬਸਾਈਟ ਇੰਜੈਕਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ 'Windows PowerShell (Admin)' ਖੋਲ੍ਹਣ ਅਤੇ ਪ੍ਰਦਾਨ ਕੀਤੇ ਕੋਡ ਨੂੰ ਪੇਸਟ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਉਹੀ ਲਾਗਾਂ ਹੁੰਦੀਆਂ ਹਨ ਜਿਨ੍ਹਾਂ ਦਾ ਪਹਿਲਾਂ ਜ਼ਿਕਰ ਕੀਤਾ ਗਿਆ ਸੀ।

ਇੱਕ ਹੋਰ ਲਾਗ ਵਿਧੀ ਵਿੱਚ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਵਰਡ ਦਸਤਾਵੇਜ਼ਾਂ ਦੇ ਸਮਾਨ HTML ਅਟੈਚਮੈਂਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਈਮੇਲ-ਅਧਾਰਿਤ ਹਮਲੇ ਸ਼ਾਮਲ ਹਨ। ਦਸਤਾਵੇਜ਼ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਦੇਖਣ ਲਈ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ 'ਵਰਡ ਔਨਲਾਈਨ' ਐਕਸਟੈਂਸ਼ਨ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਗਲਤੀ ਸੁਨੇਹਾ 'ਕਿਸ ਤਰ੍ਹਾਂ ਠੀਕ ਕਰਨਾ ਹੈ' ਅਤੇ 'ਆਟੋ-ਫਿਕਸ' ਵਿਕਲਪ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। 'ਕਿਵੇਂ ਫਿਕਸ ਕਰੀਏ' ਦੀ ਚੋਣ ਕਰਨ ਨਾਲ ਕਲਿੱਪਬੋਰਡ 'ਤੇ ਅਧਾਰ 64-ਏਨਕੋਡਡ PowerShell ਕਮਾਂਡ ਦੀ ਨਕਲ ਹੁੰਦੀ ਹੈ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਸਨੂੰ PowerShell ਵਿੱਚ ਪੇਸਟ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦੇ ਹਨ। 'ਆਟੋ-ਫਿਕਸ' ਰਿਮੋਟ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਫਾਈਲ ਸ਼ੇਅਰ ਤੋਂ WebDAV-ਹੋਸਟਡ 'fix.msi' ਜਾਂ 'fix.vbs' ਫਾਈਲ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਖੋਜ-ms ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਸਥਿਤੀਆਂ ਵਿੱਚ, PowerShell ਕਮਾਂਡਾਂ ਜਾਂ ਤਾਂ ਇੱਕ MSI ਫਾਈਲ ਜਾਂ VBS ਸਕ੍ਰਿਪਟ ਨੂੰ ਡਾਉਨਲੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਟ ਕਰਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਕ੍ਰਮਵਾਰ ਮੈਟਨਬੁਚਸ ਜਾਂ ਡਾਰਕਗੇਟ ਦੁਆਰਾ ਸੰਕਰਮਣ ਹੁੰਦਾ ਹੈ।

ਇਹਨਾਂ ਹਮਲਿਆਂ ਦੌਰਾਨ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮਾਂ 'ਤੇ PowerShell ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਨਾਲ ਜੁੜੇ ਜੋਖਮਾਂ ਬਾਰੇ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਜਾਗਰੂਕਤਾ ਦੀ ਘਾਟ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। ਉਹ ਪੇਸਟ ਕੀਤੇ ਕੋਡ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤੀਆਂ ਨੁਕਸਾਨਦੇਹ ਕਾਰਵਾਈਆਂ ਨੂੰ ਖੋਜਣ ਅਤੇ ਰੋਕਣ ਵਿੱਚ ਵਿੰਡੋਜ਼ ਦੀ ਅਸਮਰੱਥਾ ਨੂੰ ਵੀ ਪੂੰਜੀ ਲੈਂਦੇ ਹਨ।

ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਵੇਖੀਆਂ ਗਈਆਂ ਵੱਖੋ-ਵੱਖਰੀਆਂ ਅਟੈਕ ਚੇਨਾਂ ਤੋਂ ਇਹ ਸੰਕੇਤ ਮਿਲਦਾ ਹੈ ਕਿ TA571 ਕਾਰਜਕੁਸ਼ਲਤਾ ਨੂੰ ਵਧਾਉਣ ਲਈ ਵੱਖ-ਵੱਖ ਤਰੀਕਿਆਂ ਦੀ ਸਰਗਰਮੀ ਨਾਲ ਖੋਜ ਕਰ ਰਿਹਾ ਹੈ ਅਤੇ ਵੱਡੀ ਗਿਣਤੀ ਵਿੱਚ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ ਵਾਧੂ ਮਾਰਗਾਂ ਦੀ ਖੋਜ ਕਰ ਰਿਹਾ ਹੈ। ਇਹ ਅਨੁਕੂਲ ਪਹੁੰਚ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੀ ਉਨ੍ਹਾਂ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਵਿਕਸਤ ਕਰਨ ਅਤੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਲੈਂਡਸਕੇਪ ਦੇ ਅੰਦਰ ਉਨ੍ਹਾਂ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਵਧਾਉਣ ਲਈ ਵਚਨਬੱਧਤਾ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ।