Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware CORNFLAKE.V3 Backdoor

CORNFLAKE.V3 Backdoor

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT), Ușile din spate
Tradu in:

Actorii amenințători exploatează din ce în ce mai mult o tehnică înșelătoare cunoscută sub numele de ClickFix pentru a distribui un backdoor sofisticat, CORNFLAKE.V3. Cercetătorii în domeniul securității care urmăresc activitatea, denumită UNC5518, au legat-o de o operațiune de acces ca serviciu (access-as-a-service) în care pagini CAPTCHA false păcălesc victimele să execute comenzi rău intenționate. Odată ce accesul este obținut, acesta este revândut sau partajat cu alte grupuri de infractori cibernetici pentru exploatare ulterioară.

Cum începe atacul

Lanțul de infectare începe adesea atunci când utilizatorii interacționează cu rezultate de căutare afectate de SEO sau cu reclame rău intenționate. Victimele sunt redirecționate către o pagină falsă de verificare CAPTCHA, concepută să semene cu Turnstile de la Cloudflare sau cu alte servicii legitime. Crezând că rezolvă o provocare de verificare, utilizatorii sunt în schimb îndrumați să copieze și să lipească un script PowerShell rău intenționat în caseta de dialog Executare Windows, oferind atacatorilor sprijinul de care au nevoie.

Implicarea actorului amenințător

Accesul furat din campaniile UNC5518 a fost valorificat de cel puțin două grupuri distincte:

  • UNC5774 – un actor motivat financiar care livrează CORNFLAKE pentru a implementa încărcături utile suplimentare.
  • UNC4108 – un grup cu motive neclare, observat folosind PowerShell pentru a instala programe malware precum VOLTMARKER și NetSupport RAT.

Aceasta demonstrează cum ClickFix servește drept poartă de acces pentru o varietate de activități ulterioare rău intenționate.

În interiorul CORNFLAKE.V3

Backdoor-ul CORNFLAKE.V3 există atât în variante JavaScript, cât și în variante PHP. Este conceput pentru:

  • Executați diferite sarcini utile prin HTTP, inclusiv fișiere executabile, DLL-uri, JavaScript, fișiere batch și comenzi PowerShell.
  • Colectați date de bază despre sistem și trimiteți-le către un server controlat de atacatori prin tuneluri Cloudflare pentru ascundere.

Spre deosebire de predecesorul său V2, care funcționa doar ca un program de descărcare, V3 introduce persistența prin modificarea cheilor de rulare din Registrul Windows și acceptă o gamă mai largă de sarcini utile. Cel puțin trei sarcini utile au fost distribuite prin intermediul său, inclusiv:

  • Un instrument de recunoaștere Active Directory
  • Un script Kerberoasting pentru furtul de credențiale

WINDYTWIST.SEA, un backdoor bazat pe C cu capabilități precum acces invers la shell, retransmitere a traficului TCP și mișcare laterală

De ce este ClickFix periculos

Metoda ClickFix a câștigat teren în cercurile infractorilor cibernetici deoarece se bazează în mare măsură pe interacțiunea umană. Utilizatorii sunt manipulați să execute singuri comenzi, ocolind multe instrumente automate de securitate. Printre vectorii comuni de livrare se numără:

  • E-mailuri de tip phishing
  • Campanii de publicitate malicioasă
  • Compromiterea site-urilor web prin tehnica drive-by

Pentru a crește credibilitatea, atacatorii se dau adesea drept mărci cunoscute, verificări Cloudflare sau chiar verificări ale serverelor Discord.

Comercializarea kiturilor ClickFix

De la sfârșitul anului 2024, constructorii ClickFix au apărut pe forumuri underground, comercializați ca kituri „Win + R”. Prețurile variază de obicei între 200 și 1.500 de dolari pe lună, în funcție de caracteristici. Componentele individuale, cum ar fi codul sursă, paginile de destinație sau scripturile din linia de comandă, sunt adesea vândute separat pentru 200-500 de dolari.

Unele kituri avansate includ constructorii ClickFix cu alte programe de încărcare malware și oferă:

  • Pagini de destinație gata făcute cu diferite momeli
  • Comenzi care garantează ocolirea detectării antivirus
  • Opțiuni pentru persistență și evitarea SmartScreen

Măsuri defensive

Pentru a contracara infecțiile bazate pe ClickFix, organizațiile ar trebui să adopte măsuri de apărare proactive. Pașii recomandați includ:

  • Restricționarea sau dezactivarea casetei de dialog Executare Windows, acolo unde este posibil.
  • Efectuarea de simulări regulate de phishing și inginerie socială pentru a instrui utilizatorii.
  • Implementarea unor funcții robuste de înregistrare în jurnal și monitorizare pentru a detecta rapid execuții neobișnuite de PowerShell sau scripturi.

Concentrându-se atât pe prevenire, cât și pe detectarea timpurie, organizațiile pot reduce semnificativ riscul reprezentat de campaniile care implică ClickFix și CORNFLAKE.V3.

Trending

Cele mai văzute

Se încarcă...