ClickFix Malware
Najnowsza strategia dystrybucji złośliwego oprogramowania wykorzystuje zwodnicze powiadomienia przypominające błędy Google Chrome, Microsoft Word i OneDrive. Celem tych fałszywych alertów jest oszukanie użytkowników w celu wykonania zagrażających „poprawek” programu PowerShell, które ostatecznie instalują złośliwe oprogramowanie. Ta kampania została zidentyfikowana i wykorzystana przez różnych aktorów zagrażających, w tym tych powiązanych z ClearFake, nową grupą znaną jako ClickFix, oraz osławionym ugrupowaniem zagrażającym TA571. TA571 jest znany ze swojej roli dystrybutora spamu, odpowiedzialnego za rozpowszechnianie dużych ilości e-maili, które często prowadzą do infekcji złośliwym oprogramowaniem i oprogramowaniem ransomware.
Wcześniej ataki ClearFake obejmowały nakładki na witryny, które nakłaniały odwiedzających do zainstalowania złośliwego oprogramowania, udając fałszywe aktualizacje przeglądarki.
Spis treści
Fałszywe alerty o błędach mogą powodować zagrożenia złośliwym oprogramowaniem
W zgłoszonych atakach ugrupowania zagrażające rozszerzyły swoje metody o JavaScript osadzony w załącznikach HTML i zhakowanych witrynach internetowych. Taktyki te obejmują teraz nakładki symulujące fałszywe błędy z przeglądarek Google Chrome, Microsoft Word i OneDrive. Te zwodnicze alerty namawiają odwiedzających do kliknięcia przycisku w celu skopiowania „poprawki” PowerShell do schowka, instruując ich, aby wkleili ją i uruchomili w oknie dialogowym Uruchom lub w wierszu poleceń programu PowerShell.
Chociaż ten łańcuch ataków opiera się na znaczącej interakcji użytkownika, jego inżynieria społeczna jest na tyle wyrafinowana, że umożliwia jednoczesne przedstawienie użytkownikom czegoś, co wydaje się być prawdziwym problemem i rozwiązaniem. Może to zmusić użytkowników do pośpiesznego działania bez pełnej oceny związanego z tym ryzyka. Badacze firmy Infosec zidentyfikowali kilka ładunków wykorzystywanych w tych atakach, w tym DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , porywacz schowka i Lumma Stealer .
Fałszywe skrypty upuszczają złośliwe oprogramowanie na urządzenia użytkowników
Analitycy zidentyfikowali trzy odrębne łańcuchy ataków, które wyróżniają się przede wszystkim początkowymi etapami, przy czym tylko pierwszy nie jest ostatecznie powiązany z TA571.
W pierwszym scenariuszu, powiązanym z ugrupowaniami zagrażającymi połączonymi z ClearFake, użytkownicy odwiedzają zainfekowane strony internetowe, które ładują złośliwe skrypty hostowane na blockchainie za pośrednictwem umów Smart Chain firmy Binance. Skrypty te przeprowadzają kontrole i wyzwalają fałszywe alerty przeglądarki Google Chrome zgłaszające problemy z wyświetlaniem stron internetowych. Następnie okno dialogowe monituje odwiedzających o zainstalowanie „certyfikatu głównego” poprzez skopiowanie skryptu PowerShell do Schowka systemu Windows i wykonanie go w konsoli Windows PowerShell (administracyjnej).
Po wykonaniu skrypt PowerShell sprawdza poprawność urządzenia docelowego. Kontynuuje wykonywanie działań, takich jak opróżnianie pamięci podręcznej DNS, czyszczenie zawartości schowka, wyświetlanie komunikatu odwracającego uwagę i pobieranie zdalnego skryptu PowerShell. Skrypt ten z kolei przeprowadza kontrole anty-VM przed rozpoczęciem pobierania ładunku kradnącego informacje.
Emaile ClickFix i Lure wykorzystywane jako alternatywne łańcuchy ataków
Drugi łańcuch ataków jest powiązany z kampanią „ClickFix”, która wykorzystuje wstrzykiwanie witryn do zaatakowanych witryn w celu utworzenia nakładki iframe prezentującej fałszywy błąd przeglądarki Google Chrome. Użytkownikom zaleca się otwarcie „Windows PowerShell (administrator)” i wklejenie dostarczonego kodu, co spowoduje te same infekcje, o których mowa wcześniej.
Inna metoda infekcji obejmuje ataki za pośrednictwem poczty e-mail przy użyciu załączników HTML przypominających dokumenty programu Microsoft Word. Użytkownicy są proszeni o zainstalowanie rozszerzenia „Word Online”, aby poprawnie wyświetlić dokument. Komunikat o błędzie zawiera opcje „Jak naprawić” i „Naprawa automatyczna”. Wybranie opcji „Jak naprawić” powoduje skopiowanie polecenia programu PowerShell zakodowanego w formacie Base64 do schowka, instruując użytkowników, aby wkleili je do programu PowerShell. Funkcja „Auto-fix” wykorzystuje protokół search-ms do wyświetlania pliku „fix.msi” lub „fix.vbs” hostowanego przez WebDAV ze zdalnego udziału plikowego kontrolowanego przez osobę atakującą. W takich przypadkach polecenia programu PowerShell pobierają i uruchamiają plik MSI lub skrypt VBS, co prowadzi do infekcji odpowiednio przez Matanbuchus lub DarkGate.
Podczas tych ataków ugrupowania zagrażające wykorzystują brak świadomości użytkowników w zakresie zagrożeń związanych z wykonywaniem poleceń programu PowerShell w ich systemach. Wykorzystują także niezdolność systemu Windows do wykrywania i zapobiegania szkodliwym działaniom wywołanym przez wklejony kod.
Zróżnicowane łańcuchy ataków zaobserwowane przez badaczy wskazują, że TA571 aktywnie bada różnorodne metody mające na celu zwiększenie skuteczności i odkrycie dodatkowych ścieżek infekowania większej liczby systemów. To adaptacyjne podejście podkreśla zaangażowanie cyberprzestępców w rozwijanie swojej taktyki i rozszerzanie swojego wpływu w krajobrazie cyberbezpieczeństwa.
