Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware CORNFLAKE.V3 Backdoor

CORNFLAKE.V3 Backdoor

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:

Aktorët kërcënues po shfrytëzojnë gjithnjë e më shumë një teknikë mashtruese të njohur si ClickFix për të shpërndarë një derë të pasme të sofistikuar, CORNFLAKE.V3. Studiuesit e sigurisë që ndjekin aktivitetin, të përcaktuar si UNC5518, e kanë lidhur atë me një operacion aksesi si shërbim ku faqet e rreme CAPTCHA i mashtrojnë viktimat të ekzekutojnë komanda keqdashëse. Pasi fitohet aksesi, ai rishitet ose ndahet me grupe të tjera kriminale kibernetike për shfrytëzim të mëtejshëm.

Si fillon sulmi

Zinxhiri i infeksionit shpesh fillon kur përdoruesit bashkëveprojnë me rezultate kërkimi të helmuara nga SEO ose reklama dashakeqe. Viktimat ridrejtohen në një faqe të rreme verifikimi CAPTCHA, të projektuar për t'i ngjarë Turnstile të Cloudflare ose shërbimeve të tjera legjitime. Duke besuar se po zgjidhin një sfidë verifikimi, përdoruesit udhëzohen në vend të kësaj të kopjojnë dhe ngjisin një skript dashakeq PowerShell në kutinë e dialogut Windows Run, duke u dhënë sulmuesve pikëmbështetjen që u nevojitet.

Përfshirja e aktorëve kërcënues

Qasja e vjedhur nga fushatat UNC5518 është shfrytëzuar nga të paktën dy grupe të dallueshme:

  • UNC5774 – një aktor i motivuar financiarisht që ofron CORNFLAKE për të vendosur ngarkesa shtesë.
  • UNC4108 – një grup me motive të paqarta, i vërejtur duke përdorur PowerShell për të hedhur malware si VOLTMARKER dhe NetSupport RAT.

Kjo tregon se si ClickFix shërben si një portë hyrëse për një sërë aktivitetesh ndjekëse dashakeqe.

Brenda CORNFLAKE.V3

Dera e pasme CORNFLAKE.V3 ekziston në të dy variantet, JavaScript dhe PHP. Është projektuar për të:

  • Ekzekutoni ngarkesa të ndryshme nëpërmjet HTTP-së, duke përfshirë skedarë ekzekutues, DLL, JavaScript, skedarë batch dhe komanda PowerShell.
  • Mblidhni të dhëna bazë të sistemit dhe dërgojini ato në një server të kontrolluar nga sulmuesi përmes tuneleve Cloudflare për fshehje.

Ndryshe nga paraardhësi i tij V2, i cili funksiononte vetëm si një program shkarkimi, V3 prezanton persistencën duke modifikuar çelësat e Windows Registry Run dhe mbështet një gamë më të gjerë ngarkesash. Të paktën tre ngarkesa janë shpërndarë përmes tij, duke përfshirë:

  • Një mjet zbulimi i Active Directory
  • Një skript Kerberoasting për vjedhjen e kredencialeve

WINDYTWIST.SEA, një derë e pasme e bazuar në C me aftësi të tilla si aksesi në shell-in e kundërt, transmetimi i trafikut TCP dhe lëvizja anësore.

Pse ClickFix është i rrezikshëm

Metoda ClickFix ka fituar vrull në qarqet kiberkriminale sepse mbështetet shumë në ndërveprimin njerëzor. Përdoruesit manipulohen për të ekzekutuar vetë komandat, duke anashkaluar shumë mjete të automatizuara sigurie. Vektorët e zakonshëm të shpërndarjes përfshijnë:

  • Email-e phishing
  • Fushatat e reklamimit keqdashës
  • Kompromentime të faqeve të internetit nga makina

Për të rritur besueshmërinë, sulmuesit shpesh imitojnë markat e njohura, kontrollet e Cloudflare ose edhe verifikimet e serverëve Discord.

Komercializimi i kompleteve ClickFix

Që nga fundi i vitit 2024, ndërtuesit e ClickFix janë shfaqur në forume nëntokësore, të tregtuara si komplete 'Win + R'. Çmimet zakonisht variojnë nga 200 deri në 1,500 dollarë në muaj, varësisht nga veçoritë. Komponentët individualë, siç janë kodi burimor, faqet e destinacionit ose skriptet e linjës së komandës, shpesh shiten veçmas për 200–500 dollarë.

Disa komplete të avancuara i bashkojnë ndërtuesit e ClickFix me ngarkues të tjerë të malware dhe ofrojnë:

  • Faqe uljeje të gatshme me karremra të ndryshëm
  • Komandat e garantuara për të anashkaluar zbulimin e antivirusit
  • Opsione për këmbëngulje dhe shmangie të SmartScreen

Masat mbrojtëse

Për të luftuar infeksionet e bazuara në ClickFix, organizatat duhet të miratojnë mbrojtje proaktive. Hapat e rekomanduar përfshijnë:

  • Kufizimi ose çaktivizimi i dialogut Run të Windows aty ku është e mundur.
  • Kryerja e rregullt e simulimeve të phishing-ut dhe inxhinierisë sociale për të trajnuar përdoruesit.
  • Zbatimi i regjistrimit dhe monitorimit të fuqishëm për të zbuluar shpejt ekzekutimet e pazakonta të PowerShell ose skripteve.

Duke u përqendruar si në parandalim ashtu edhe në zbulimin e hershëm, organizatat mund ta zvogëlojnë ndjeshëm rrezikun që paraqesin fushatat që përfshijnë ClickFix dhe CORNFLAKE.V3.

Në trend

Më e shikuara

Po ngarkohet...