ClickFix Malware
Një strategji e fundit e shpërndarjes së malware përdor njoftime mashtruese që ngjajnë me gabimet e Google Chrome, Microsoft Word dhe OneDrive. Këto sinjalizime të rreme synojnë të mashtrojnë përdoruesit në ekzekutimin e 'rregullimeve' kërcënuese të PowerShell, të cilat në fund të fundit instalojnë malware. Kjo fushatë është identifikuar dhe përdorur nga aktorë të ndryshëm kërcënimi, duke përfshirë ata të lidhur me ClearFake, një grup i ri i njohur si ClickFix, dhe aktori famëkeq i kërcënimit TA571. TA571 është i njohur për rolin e tij si shpërndarës i postës së padëshiruar, përgjegjës për shpërndarjen e vëllimeve të mëdha të emaileve që shpesh çojnë në infeksione malware dhe ransomware.
Më parë, sulmet ClearFake përfshinin mbivendosje të uebsajteve që mashtronin vizitorët të instalonin malware duke u paraqitur si përditësime të rreme të shfletuesit.
Tabela e Përmbajtjes
Sinjalizimet e rreme për gabime mund të sjellin kërcënime malware
Në sulmet e raportuara, aktorët e kërcënimit kanë zgjeruar metodat e tyre për të përfshirë JavaScript të ngulitur në bashkëngjitjet HTML dhe faqet e internetit të komprometuara. Këto taktika tani përfshijnë mbivendosje që simulojnë gabime të rreme nga Google Chrome, Microsoft Word dhe OneDrive. Këto sinjalizime mashtruese i nxisin vizitorët të klikojnë në një buton për të kopjuar një 'rregullim' të PowerShell në kujtesën e tyre, duke i udhëzuar ata ta ngjitin dhe ta ekzekutojnë atë ose në një dialog Run ose në kërkesën PowerShell.
Ndërsa ky zinxhir sulmi mbështetet në ndërveprimin e konsiderueshëm të përdoruesit, inxhinieria e tij sociale është mjaft e sofistikuar për t'u paraqitur përdoruesve me atë që duket të jetë një problem dhe zgjidhje e vërtetë njëkohësisht. Kjo mund t'i detyrojë përdoruesit të veprojnë me nxitim pa i vlerësuar plotësisht rreziqet që lidhen me to. Studiuesit e Infosec kanë identifikuar disa ngarkesa të përdorura në këto sulme, duke përfshirë DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , një rrëmbyes i clipboard-it dhe Lumma Stealer .
Skriptet mashtruese hedhin malware në pajisjet e përdoruesve
Analistët kanë identifikuar tre zinxhirë të ndryshëm sulmi të dalluar kryesisht nga fazat e tyre fillestare, me vetëm të parin që nuk është i lidhur përfundimisht me TA571.
Në këtë skenar të parë, të lidhur me aktorët e kërcënimit të lidhur me ClearFake, përdoruesit vizitojnë faqet e internetit të komprometuara që ngarkojnë skriptet me qëllim të keq të vendosur në blockchain nëpërmjet kontratave të Zinxhirit Smart të Binance. Këto skripta kryejnë kontrolle dhe shkaktojnë sinjalizime të rreme të Google Chrome që pretendojnë probleme me shfaqjen e faqeve në internet. Më pas dialogu i nxit vizitorët të instalojnë një 'çertifikatë rrënjësore' duke kopjuar një skript të PowerShell në Clipboard të Windows dhe duke e ekzekutuar atë në një tastierë Windows PowerShell (Admin).
Pas ekzekutimit, skripti PowerShell vërteton pajisjen e synuar. Ai vazhdon të kryejë veprime të tilla si shpëlarja e memories DNS, pastrimi i përmbajtjes së kujtesës, shfaqja e një mesazhi shpërqendrues dhe shkarkimi i një skripti në distancë të PowerShell. Ky skript, nga ana tjetër, kryen kontrolle anti-VM përpara se të fillojë shkarkimin e një ngarkese për vjedhje informacioni.
Email-et ClickFix dhe Lure të përdorura si zinxhirë alternative të sulmit
Zinxhiri i dytë i sulmit është i lidhur me fushatën 'ClickFix', duke përdorur injeksione në faqet e internetit të komprometuara për të krijuar një mbivendosje iframe që paraqet një gabim të rremë të Google Chrome. Përdoruesit drejtohen të hapin "Windows PowerShell (Admin)" dhe të ngjitin kodin e dhënë, duke rezultuar në të njëjtat infeksione të përmendura më parë.
Një tjetër metodë infeksioni përfshin sulmet e bazuara në email duke përdorur bashkëngjitjet HTML që ngjajnë me dokumentet e Microsoft Word. Përdoruesve u kërkohet të instalojnë shtesën "Word Online" për të parë dokumentin në mënyrë korrekte. Mesazhi i gabimit ofron opsionet "Si të rregullohet" dhe "Fiksimi automatik". Zgjedhja "Si të rregullohet" kopjon një komandë PowerShell të koduar me bazë 64 në kujtesën e fragmenteve, duke i udhëzuar përdoruesit që ta ngjitin atë në PowerShell. "Fiks automatik" përdor protokollin search-ms për të shfaqur një skedar "fix.msi" ose "fix.vbs" të hostuar nga WebDAV nga një skedar skedari i kontrolluar nga sulmuesi në distancë. Në këto raste, komandat PowerShell shkarkojnë dhe ekzekutojnë ose një skedar MSI ose një skript VBS, duke çuar në infeksione nga Matanbuchus ose DarkGate, përkatësisht.
Gjatë gjithë këtyre sulmeve, aktorët e kërcënimit shfrytëzojnë mungesën e ndërgjegjësimit të përdoruesve në lidhje me rreziqet që lidhen me ekzekutimin e komandave PowerShell në sistemet e tyre. Ata gjithashtu përfitojnë nga paaftësia e Windows për të zbuluar dhe parandaluar veprimet e dëmshme të shkaktuara nga kodi i ngjitur.
Zinxhirët e ndryshëm të sulmit të vëzhguara nga studiuesit tregojnë se TA571 po eksploron në mënyrë aktive metoda të ndryshme për të rritur efikasitetin dhe për të zbuluar shtigje shtesë për infektimin e një numri më të madh sistemesh. Kjo qasje adaptive nënvizon angazhimin e kriminelëve kibernetikë për të zhvilluar taktikat e tyre dhe për të zgjeruar ndikimin e tyre brenda peizazhit të sigurisë kibernetike.
