ClickFix Malware
Nedávna stratégia distribúcie škodlivého softvéru využíva klamlivé upozornenia pripomínajúce chyby prehliadača Google Chrome, Microsoft Word a OneDrive. Cieľom týchto falošných upozornení je oklamať používateľov, aby vykonali hrozivé „opravy“ prostredia PowerShell, ktoré v konečnom dôsledku nainštalujú malvér. Túto kampaň identifikovali a používajú rôzni aktéri hrozieb, vrátane tých, ktorí sú spojení s ClearFake, novou skupinou známou ako ClickFix, a notoricky známym aktérom hrozieb TA571. TA571 je známy svojou úlohou distribútora spamu, ktorý je zodpovedný za šírenie veľkého množstva e-mailov, ktoré často vedú k malvérovým a ransomwarovým infekciám.
Predtým sa útoky ClearFake týkali prekryvných webových stránok, ktoré oklamali návštevníkov, aby si nainštalovali malvér tým, že sa vydávali za falošné aktualizácie prehliadača.
Obsah
Falošné varovania o chybách môžu priniesť hrozby škodlivého softvéru
V hlásených útokoch aktéri hrozieb rozšírili svoje metódy tak, aby zahŕňali JavaScript vložený do príloh HTML a napadnuté webové stránky. Tieto taktiky teraz zahŕňajú prekrytia, ktoré simulujú falošné chyby z prehliadačov Google Chrome, Microsoft Word a OneDrive. Tieto klamlivé upozornenia vyzývajú návštevníkov, aby kliknutím na tlačidlo skopírovali „opravu“ prostredia PowerShell do svojej schránky, čím im dajú pokyn, aby ho vložili a vykonali buď v dialógovom okne Spustiť alebo vo výzve PowerShell.
Zatiaľ čo tento reťazec útokov sa spolieha na významnú interakciu používateľov, jeho sociálne inžinierstvo je dostatočne sofistikované na to, aby používateľom predstavilo to, čo sa zdá byť skutočným problémom a riešením súčasne. To môže prinútiť používateľov konať unáhlene bez úplného posúdenia súvisiacich rizík. Výskumníci z Infosec identifikovali niekoľko užitočných dát použitých pri týchto útokoch, vrátane DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , únosca schránky a Lumma Stealer .
Podvodné skripty prenášajú malvér do zariadení používateľov
Analytici identifikovali tri odlišné reťazce útokov, ktoré sa primárne líšia svojimi počiatočnými fázami, pričom iba prvý nie je definitívne spojený s TA571.
V tomto prvom scenári spojenom s aktérmi hrozieb pripojenými k ClearFake používatelia navštívia napadnuté webové stránky, ktoré načítajú škodlivé skripty hostené na blockchaine prostredníctvom zmlúv Smart Chain spoločnosti Binance. Tieto skripty vykonávajú kontroly a spúšťajú falošné upozornenia prehliadača Google Chrome, ktoré poukazujú na problémy so zobrazením webovej stránky. Dialógové okno potom vyzve návštevníkov, aby si nainštalovali „koreňový certifikát“ skopírovaním skriptu PowerShell do schránky Windows a jeho spustením v konzole Windows PowerShell (Admin).
Po spustení skript PowerShell overí cieľové zariadenie. Pokračuje vo vykonávaní akcií, ako je vyprázdnenie vyrovnávacej pamäte DNS, vymazanie obsahu schránky, zobrazenie správy o rozptýlení a stiahnutie vzdialeného skriptu PowerShell. Tento skript na druhej strane vykonáva anti-VM kontroly pred spustením sťahovania užitočného obsahu, ktorý kradne informácie.
E-maily ClickFix a Lure používané ako alternatívne reťazce útokov
Druhý reťazec útokov je spojený s kampaňou „ClickFix“, ktorá využíva vloženie webových stránok na napadnuté stránky na vytvorenie prekrytia iframe, ktorý predstavuje falošnú chybu prehliadača Google Chrome. Používatelia sú nasmerovaní na otvorenie „Windows PowerShell (Admin)“ a prilepenie poskytnutého kódu, čo vedie k rovnakým infekciám, ktoré boli spomenuté vyššie.
Ďalšia metóda infekcie zahŕňa útoky založené na e-mailoch pomocou príloh HTML pripomínajúcich dokumenty programu Microsoft Word. Používatelia sú vyzvaní, aby si nainštalovali rozšírenie „Word Online“, aby sa dokument zobrazoval správne. Chybové hlásenie poskytuje možnosti „Ako opraviť“ a „Automatická oprava“. Výberom možnosti „Ako opraviť“ sa do schránky skopíruje príkaz PowerShell zakódovaný v base64, ktorý dáva používateľom pokyn, aby ho vložili do prostredia PowerShell. „Automatická oprava“ využíva protokol search-ms na zobrazenie súboru „fix.msi“ alebo „fix.vbs“ hosteného WebDAV zo zdieľania súborov kontrolovaného vzdialeným útočníkom. V týchto prípadoch príkazy PowerShell stiahnu a spustia buď súbor MSI alebo skript VBS, čo vedie k infekciám Matanbuchus alebo DarkGate.
Počas týchto útokov aktéri hrozieb využívajú nedostatočnú informovanosť používateľov o rizikách spojených s vykonávaním príkazov PowerShell v ich systémoch. Využívajú tiež neschopnosť systému Windows odhaliť a zabrániť škodlivým akciám vyvolaným vloženým kódom.
Rôzne útočné reťazce pozorované výskumníkmi naznačujú, že TA571 aktívne skúma rôzne metódy na zvýšenie účinnosti a objavenie ďalších ciest na infikovanie väčšieho počtu systémov. Tento adaptívny prístup podčiarkuje odhodlanie kyberzločincov rozvíjať svoje taktiky a rozširovať ich vplyv v rámci kybernetickej bezpečnosti.
