ClickFix Malware

O strategie recentă de distribuire a programelor malware folosește notificări înșelătoare, care seamănă cu erorile Google Chrome, Microsoft Word și OneDrive. Aceste alerte false au scopul de a înșela utilizatorii să execute „remedieri” PowerShell amenințătoare, care în cele din urmă instalează malware. Această campanie a fost identificată și utilizată de diverși actori de amenințări, inclusiv cei asociați cu ClearFake, un nou grup cunoscut sub numele de ClickFix și celebrul actor de amenințare TA571. TA571 este cunoscut pentru rolul său de distribuitor de spam, responsabil pentru diseminarea unor volume mari de e-mailuri care duc adesea la infecții cu malware și ransomware.

Anterior, atacurile ClearFake implicau suprapuneri de site-uri web care i-au păcălit pe vizitatori să instaleze programe malware, pretinzându-se drept actualizări false ale browserului.

Alertele false de eroare pot genera amenințări malware

În atacurile raportate, actorii amenințărilor și-au extins metodele pentru a include JavaScript încorporat în atașamente HTML și site-uri web compromise. Aceste tactici implică acum suprapuneri care simulează erori false din Google Chrome, Microsoft Word și OneDrive. Aceste alerte înșelătoare îi îndeamnă pe vizitatori să facă clic pe un buton pentru a copia o „remediere” PowerShell în clipboard-ul lor, indicându-le să o lipească și să o execute fie într-un dialog Run sau prompt PowerShell.

În timp ce acest lanț de atacuri se bazează pe o interacțiune semnificativă a utilizatorului, ingineria sa socială este suficient de sofisticată pentru a prezenta utilizatorilor ceea ce pare a fi o problemă și o soluție autentică simultan. Acest lucru poate obliga utilizatorii să acționeze în grabă, fără a evalua pe deplin riscurile asociate. Cercetătorii Infosec au identificat mai multe încărcături utile utilizate în aceste atacuri, inclusiv DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , un piratator de clipboard și Lumma Stealer .

Scripturile frauduloase aruncă programe malware pe dispozitivele utilizatorilor

Analiștii au identificat trei lanțuri de atac distincte care se disting în principal prin stadiile lor inițiale, doar primul nefiind legat definitiv de TA571.

În acest prim scenariu, asociat cu actori de amenințări conectați la ClearFake, utilizatorii vizitează site-uri web compromise care încarcă scripturi rău intenționate găzduite pe blockchain prin contractele Smart Chain ale Binance. Aceste scripturi efectuează verificări și declanșează alerte Google Chrome false care susțin probleme cu afișarea paginilor web. Dialogul solicită apoi vizitatorilor să instaleze un „certificat rădăcină” prin copierea unui script PowerShell în Clipboard-ul Windows și executându-l într-o consolă Windows PowerShell (Admin).

La execuție, scriptul PowerShell validează dispozitivul țintă. Continuă să efectueze acțiuni precum golirea memoriei cache DNS, ștergerea conținutului clipboard-ului, afișarea unui mesaj de distragere a atenției și descărcarea unui script PowerShell de la distanță. Acest script, la rândul său, efectuează verificări anti-VM înainte de a iniția descărcarea unei sarcini utile de furt de informații.

E-mailuri ClickFix și Lure utilizate ca lanțuri alternative de atac

Al doilea lanț de atac este legat de campania „ClickFix”, utilizând injecții de site-uri web pe site-uri compromise pentru a crea o suprapunere iframe care prezintă o eroare Google Chrome falsă. Utilizatorii sunt direcționați să deschidă „Windows PowerShell (Admin)” și să lipească codul furnizat, rezultând aceleași infecții menționate anterior.

O altă metodă de infectare implică atacuri pe e-mail, folosind atașamente HTML care seamănă cu documentele Microsoft Word. Utilizatorilor li se solicită să instaleze extensia „Word Online” pentru a vizualiza documentul corect. Mesajul de eroare oferă opțiunile „Cum se remediază” și „Remediare automată”. Selectarea „Cum se remediază” copiază o comandă PowerShell codificată în base64 în clipboard, indicând utilizatorilor să o insereze în PowerShell. „Auto-fix” folosește protocolul search-ms pentru a afișa un fișier „fix.msi” sau „fix.vbs” găzduit de WebDAV dintr-o partajare de fișiere controlată de atacator la distanță. În aceste cazuri, comenzile PowerShell descarcă și execută fie un fișier MSI, fie un script VBS, ceea ce duce la infecții cu Matanbuchus sau DarkGate, respectiv.

Pe parcursul acestor atacuri, actorii amenințărilor exploatează lipsa de conștientizare a utilizatorilor cu privire la riscurile asociate cu executarea comenzilor PowerShell pe sistemele lor. De asemenea, valorifică incapacitatea Windows de a detecta și de a preveni acțiunile dăunătoare declanșate de codul lipit.

Lanțurile de atac variate observate de cercetători indică faptul că TA571 explorează în mod activ diverse metode pentru a spori eficacitatea și pentru a descoperi căi suplimentare pentru infectarea unui număr mai mare de sisteme. Această abordare adaptativă subliniază angajamentul infractorilor cibernetici de a-și evolua tacticile și de a-și extinde impactul în peisajul securității cibernetice.