ClickFix Malware
Недавна стратегија дистрибуције злонамерног софтвера користи обмањујућа обавештења која личе на грешке Гоогле Цхроме-а, Мицрософт Ворд-а и ОнеДриве-а. Ова лажна упозорења имају за циљ да преваре кориснике да изврше претеће ПоверСхелл „поправке“, које на крају инсталирају малвер. Ову кампању су идентификовали и користили различити актери претњи, укључујући оне повезане са ЦлеарФаке-ом, новом групом познатом као ЦлицкФик, и озлоглашеним актером претњи ТА571. ТА571 је познат по својој улози дистрибутера нежељене поште, одговорног за ширење великих количина е-порука које често доводе до инфекција малвером и рансомвером.
Раније су ЦлеарФаке напади укључивали преклапања веб локација који су навели посетиоце да инсталирају малвер представљајући се као лажна ажурирања претраживача.
Преглед садржаја
Лажна упозорења о грешци могу да испоруче претње од злонамерног софтвера
У пријављеним нападима, актери претњи су проширили своје методе тако да укључују ЈаваСцрипт уграђен у ХТМЛ прилоге и угрожене веб локације. Ове тактике сада укључују преклапања која симулирају лажне грешке из Гоогле Цхроме-а, Мицрософт Ворд-а и ОнеДриве-а. Ова обмањујућа упозорења подстичу посетиоце да кликну на дугме како би копирали ПоверСхелл 'поправку' у међуспремник, упућујући их да је налепе и изврше или у дијалогу Покрени или у ПоверСхелл промпту.
Иако се овај ланац напада ослања на значајну интеракцију корисника, његов друштвени инжењеринг је довољно софистициран да корисницима представи оно што се чини као прави проблем и решење истовремено. Ово може натерати кориснике да делују исхитрено без пуне процене повезаних ризика. Инфосец истраживачи су идентификовали неколико корисних оптерећења коришћених у овим нападима, укључујући ДаркГате , Матанбуцхус , НетСуппорт , Амадеи Лоадер , КСМРиг , отмичар клипборда и Лумма Стеалер .
Лажне скрипте испуштају злонамерни софтвер на уређаје корисника
Аналитичари су идентификовали три различита ланца напада који се првенствено разликују по почетним фазама, а само први није дефинитивно повезан са ТА571.
У овом првом сценарију, повезаном са актерима претњи повезаним са ЦлеарФаке-ом, корисници посећују компромитоване веб локације које учитавају злонамерне скрипте хостоване на блокчејну преко Бинанце-ових Смарт Цхаин уговора. Ове скрипте спроводе провере и покрећу лажна Гоогле Цхроме упозорења о проблемима са приказом веб страница. Дијалог затим тражи од посетилаца да инсталирају 'коренски сертификат' тако што ће копирати ПоверСхелл скрипту у Виндовс Цлипбоард и извршити је у Виндовс ПоверСхелл (Админ) конзоли.
По извршењу, ПоверСхелл скрипта потврђује валидност циљног уређаја. Наставља да обавља радње као што је испирање ДНС кеша, брисање садржаја међуспремника, приказивање поруке одвлачења пажње и преузимање удаљене ПоверСхелл скрипте. Ова скрипта, заузврат, спроводи анти-ВМ провере пре него што започне преузимање корисног оптерећења за крађу информација.
ЦлицкФик и Луре мејлови који се користе као алтернативни ланци напада
Други ланац напада је повезан са кампањом 'ЦлицкФик', користећи ињекције веб локација на компромитоване сајтове да би се направио ифраме прекривач који представља лажну грешку Гоогле Цхроме-а. Корисници се упућују да отворе „Виндовс ПоверСхелл (Админ)“ и налепе обезбеђени код, што доводи до истих инфекција поменутих раније.
Други метод заразе укључује нападе засноване на е-пошти користећи ХТМЛ прилоге који личе на Мицрософт Ворд документе. Од корисника се тражи да инсталирају екстензију „Ворд Онлине“ да би исправно видели документ. Порука о грешци пружа опције „Како да поправим” и „Аутоматско поправи”. Избором „Како поправити“ копира се ПоверСхелл наредба кодирана басе64 у међуспремник, упућујући кориснике да је налепе у ПоверСхелл. 'Ауто-фик' користи сеарцх-мс протокол за приказ 'фик.мси' или 'фик.вбс' датотеке хостоване на ВебДАВ-у са удаљеног дељења датотека који контролише нападач. У овим случајевима, ПоверСхелл команде преузимају и извршавају или МСИ датотеку или ВБС скрипту, што доводи до инфекције Матанбуцхус-ом или ДаркГате-ом, респективно.
Током ових напада, актери претњи искоришћавају недостатак свести корисника о ризицима повезаним са извршавањем ПоверСхелл команди на њиховим системима. Они такође користе немогућност Виндовс-а да открије и спречи штетне радње које покреће налепљени код.
Разноврсни ланци напада које су посматрали истраживачи указују на то да ТА571 активно истражује различите методе за побољшање ефикасности и откривање додатних путева за инфицирање већег броја система. Овај прилагодљиви приступ наглашава посвећеност сајбер-криминалаца развоју својих тактика и ширењу свог утицаја у окружењу сајбер-безбедности.
