ClickFix Malware
Недавняя стратегия распространения вредоносного ПО использует обманчивые уведомления, напоминающие ошибки Google Chrome, Microsoft Word и OneDrive. Эти фальшивые оповещения направлены на то, чтобы обманом заставить пользователей выполнить угрожающие «исправления» PowerShell, которые в конечном итоге устанавливают вредоносное ПО. Эта кампания была выявлена и использована различными субъектами угроз, в том числе связанными с ClearFake, новой группой, известной как ClickFix, и печально известным злоумышленником TA571. TA571 известен своей ролью распространителя спама, ответственного за распространение больших объемов электронных писем, которые часто приводят к заражению вредоносным ПО и программами-вымогателями.
Ранее атаки ClearFake включали в себя оверлеи веб-сайтов, которые обманным путем заставляли посетителей устанавливать вредоносное ПО, выдавая себя за поддельные обновления браузера.
Оглавление
Ложные оповещения об ошибках могут представлять угрозу вредоносного ПО
В зарегистрированных атаках злоумышленники расширили свои методы, включив JavaScript, встроенный во вложения HTML и взломанные веб-сайты. Эта тактика теперь включает наложения, имитирующие ложные ошибки из Google Chrome, Microsoft Word и OneDrive. Эти обманчивые предупреждения побуждают посетителей нажать кнопку, чтобы скопировать «исправление» PowerShell в буфер обмена, предписывая им вставить и выполнить его либо в диалоговом окне «Выполнить», либо в командной строке PowerShell.
Хотя эта цепочка атак опирается на активное взаимодействие с пользователем, ее социальная инженерия достаточно сложна, чтобы предоставить пользователям одновременно то, что кажется настоящей проблемой и решением. Это может вынудить пользователей действовать поспешно, не оценив полностью связанные с этим риски. Исследователи Infosec выявили несколько полезных нагрузок, использованных в этих атаках, включая DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , угонщик буфера обмена и Lumma Stealer .
Мошеннические скрипты переносят вредоносное ПО на устройства пользователей
Аналитики выделили три отдельные цепочки атак, которые в первую очередь отличаются своими начальными стадиями, и только первая из них не связана окончательно с TA571.
В этом первом сценарии, связанном с субъектами угроз, подключенными к ClearFake, пользователи посещают взломанные веб-сайты, которые загружают вредоносные скрипты, размещенные в блокчейне, через контракты Binance Smart Chain. Эти сценарии проводят проверки и запускают поддельные оповещения Google Chrome, сообщающие о проблемах с отображением веб-страниц. Затем диалоговое окно предлагает посетителям установить «корневой сертификат», скопировав сценарий PowerShell в буфер обмена Windows и выполнив его в консоли Windows PowerShell (администратора).
После выполнения сценарий PowerShell проверяет целевое устройство. Он приступает к выполнению таких действий, как очистка кэша DNS, очистка содержимого буфера обмена, отображение отвлекающего сообщения и загрузка удаленного сценария PowerShell. Этот сценарий, в свою очередь, проводит анти-VM-проверки перед началом загрузки полезной нагрузки, предназначенной для кражи информации.
ClickFix и Lure-письма используются в качестве альтернативных цепочек атак
Вторая цепочка атак связана с кампанией ClickFix, в которой используется внедрение на взломанные сайты для создания наложения iframe, представляющего ложную ошибку Google Chrome. Пользователям предлагается открыть «Windows PowerShell (Администратор)» и вставить предоставленный код, что приводит к тем же заражениям, которые упоминались ранее.
Другой метод заражения включает атаки по электронной почте с использованием HTML-вложений, напоминающих документы Microsoft Word. Пользователям предлагается установить расширение Word Online для корректного просмотра документа. В сообщении об ошибке указаны варианты «Как исправить» и «Автоматическое исправление». При выборе «Как исправить» команда PowerShell в кодировке Base64 копируется в буфер обмена, предлагая пользователям вставить ее в PowerShell. «Автоисправление» использует протокол search-ms для отображения файла fix.msi или fix.vbs, размещенного в WebDAV, из удаленного файлового ресурса, контролируемого злоумышленником. В этих случаях команды PowerShell загружают и выполняют либо файл MSI, либо сценарий VBS, что приводит к заражению Matanbuchus или DarkGate соответственно.
В ходе этих атак злоумышленники используют неосведомленность пользователей о рисках, связанных с выполнением команд PowerShell в их системах. Они также извлекают выгоду из неспособности Windows обнаружить и предотвратить вредоносные действия, вызванные вставленным кодом.
Разнообразные цепочки атак, наблюдаемые исследователями, указывают на то, что TA571 активно изучает различные методы для повышения эффективности и обнаружения дополнительных путей заражения большего числа систем. Такой адаптивный подход подчеркивает стремление киберпреступников совершенствовать свою тактику и расширять свое влияние в сфере кибербезопасности.
