ClickFix Malware
Nedavna strategija distribucije zlonamerne programske opreme uporablja zavajajoča obvestila, ki spominjajo na napake Google Chrome, Microsoft Word in OneDrive. Namen teh lažnih opozoril je zavesti uporabnike, da izvedejo grozeče 'popravke' lupine PowerShell, ki na koncu namestijo zlonamerno programsko opremo. To kampanjo so prepoznali in uporabili različni akterji groženj, vključno s tistimi, povezanimi s ClearFake, novo skupino, znano kot ClickFix, in razvpiti akter grožnje TA571. TA571 je znan po svoji vlogi distributerja neželene pošte, odgovoren za razširjanje velikih količin e-poštnih sporočil, ki pogosto povzročijo okužbe z zlonamerno in izsiljevalsko programsko opremo.
Prej so napadi ClearFake vključevali prekrivanja spletnih mest, ki so obiskovalce pretentali, da so namestili zlonamerno programsko opremo, tako da so se predstavljali kot lažne posodobitve brskalnika.
Kazalo
Lažna opozorila o napakah lahko povzročijo grožnje z zlonamerno programsko opremo
V napadih, o katerih so poročali, so akterji groženj razširili svoje metode tako, da vključujejo JavaScript, vdelan v priloge HTML, in ogrožena spletna mesta. Te taktike zdaj vključujejo prekrivanja, ki simulirajo lažne napake iz Google Chroma, Microsoft Worda in OneDrive. Ta zavajajoča opozorila pozivajo obiskovalce, naj kliknejo gumb, da kopirajo 'popravek' lupine PowerShell v svoje odložišče, ter jim naročijo, naj ga prilepijo in izvedejo bodisi v pogovornem oknu Zaženi ali v pozivu lupine PowerShell.
Medtem ko je ta veriga napadov odvisna od pomembne uporabniške interakcije, je njen socialni inženiring dovolj prefinjen, da uporabnikom predstavi tisto, kar se zdi resničen problem in rešitev hkrati. To lahko prisili uporabnike, da ukrepajo prenagljeno, ne da bi v celoti ocenili povezana tveganja. Raziskovalci Infosec so identificirali več koristnih obremenitev, uporabljenih v teh napadih, vključno z DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , ugrabiteljem odložišča in Lumma Stealerjem .
Goljufivi skripti spustijo zlonamerno programsko opremo v naprave uporabnikov
Analitiki so identificirali tri različne verige napadov, ki se razlikujejo predvsem po začetnih stopnjah, pri čemer le prva ni dokončno povezana s TA571.
V tem prvem scenariju, povezanem z akterji groženj, povezanimi s ClearFake, uporabniki obiščejo ogrožena spletna mesta, ki naložijo zlonamerne skripte, ki gostujejo v verigi blokov prek pogodb Binance Smart Chain. Ti skripti izvajajo preverjanja in sprožijo lažna opozorila Google Chroma, ki navajajo težave s prikazom spletne strani. Pogovorno okno nato pozove obiskovalce, naj namestijo 'korensko potrdilo' tako, da kopirajo skript PowerShell v odložišče Windows in ga izvedejo v konzoli Windows PowerShell (Administrator).
Po izvedbi skript PowerShell preveri veljavnost ciljne naprave. Nadaljuje z izvajanjem dejanj, kot je izpiranje predpomnilnika DNS, brisanje vsebine odložišča, prikaz motečega sporočila in prenos oddaljenega skripta PowerShell. Ta skript nato izvaja preverjanja proti VM, preden začne s prenosom tovora, ki ukrade informacije.
ClickFix in Lure e-poštna sporočila, ki se uporabljajo kot alternativne verige napadov
Druga veriga napadov je povezana s kampanjo 'ClickFix', ki uporablja vbrizgavanje spletnih mest na ogrožena spletna mesta za ustvarjanje prekrivanja iframe, ki prikazuje lažno napako Google Chrome. Uporabniki so usmerjeni, da odprejo »Windows PowerShell (Admin)« in prilepijo navedeno kodo, kar povzroči iste okužbe, omenjene prej.
Druga metoda okužbe vključuje napade na podlagi e-pošte z uporabo prilog HTML, ki spominjajo na dokumente Microsoft Word. Uporabniki so pozvani, da za pravilen ogled dokumenta namestijo razširitev »Word Online«. Sporočilo o napaki ponuja možnosti »Kako popraviti« in »Samodejno popravi«. Če izberete »Kako popraviti«, se ukaz PowerShell, kodiran z base64, kopira v odložišče in uporabnikom naroči, naj ga prilepijo v PowerShell. »Auto-fix« uporablja protokol search-ms za prikaz datoteke »fix.msi« ali »fix.vbs«, ki gostuje v WebDAV, iz oddaljenega datotečnega prostora, ki ga nadzoruje napadalec. V teh primerih ukazi PowerShell prenesejo in izvedejo datoteko MSI ali skript VBS, kar vodi do okužb z Matanbuchus oziroma DarkGate.
V vseh teh napadih akterji groženj izkoriščajo pomanjkanje zavedanja uporabnikov glede tveganj, povezanih z izvajanjem ukazov PowerShell v njihovih sistemih. Prav tako izkoriščajo nezmožnost sistema Windows, da zazna in prepreči škodljiva dejanja, ki jih sproži prilepljena koda.
Različne verige napadov, ki so jih opazili raziskovalci, kažejo, da TA571 aktivno raziskuje različne metode za povečanje učinkovitosti in odkrivanje dodatnih poti za okužbo večjega števila sistemov. Ta prilagodljivi pristop poudarja zavezanost kibernetskih kriminalcev, da bodo razvijali svoje taktike in širili svoj vpliv v okolju kibernetske varnosti.
