CORNFLAKE.V3 Задња врата

Претње све више користе обмањујућу технику познату као ClickFix како би дистрибуирали софистицирани бекдор, CORNFLAKE.V3. Истраживачи безбедности који прате активност, означену као UNC5518, повезали су је са операцијом приступа као услуге где лажне CAPTCHA странице варају жртве да извршавају злонамерне команде. Када се добије приступ, он се препродаје или дели са другим сајбер криминалним групама ради даље експлоатације.

Како почиње напад

Ланац инфекције често почиње када корисници интерагују са резултатима претраге затрованим SEO-ом или злонамерним огласима. Жртве се преусмеравају на лажну CAPTCHA страницу за верификацију, дизајнирану да подсећа на Cloudflare-ов Turnstile или друге легитимне сервисе. Верујући да решавају проблем верификације, корисници се уместо тога воде да копирају и налепе злонамерни PowerShell скрипт у дијалог прозор „Руни“ у систему Windows, дајући нападачима потребну подршку.

Укљученост актера претње

Украдени приступ из кампања UNC5518 искористиле су најмање две различите групе:

• UNC5774 – финансијски мотивисан актер који испоручује CORNFLAKE за распоређивање додатних корисних терета.
• UNC4108 – група са нејасним мотивима, примећена је како користи PowerShell за постављање злонамерног софтвера попут VOLTMARKER-а и NetSupport RAT-а.

Ово показује како ClickFix служи као капија за разне злонамерне активности праћења.

Унутар кукурузне пахуљице.V3

Заштитни додаци CORNFLAKE.V3 постоје и у JavaScript и у PHP варијантама. Дизајнирани су да:

• Извршавајте различите корисне податке путем HTTP-а, укључујући извршне датотеке, DLL-ове, JavaScript, batch датотеке и PowerShell команде.
• Прикупите основне системске податке и пошаљите их на сервер којим управља нападач путем Cloudflare тунела ради скривања.

За разлику од свог претходника V2, који је функционисао само као програм за преузимање, V3 уводи перзистентност модификовањем кључева Windows регистра и подржава шири спектар корисних оптерећења. Најмање три корисна оптерећења су дистрибуирана кроз њега, укључујући:

• Алат за извиђање Active Directory-ја
• Kerberoasting скрипта за крађу акредитива

WINDYTWIST.SEA, бекдор базиран на C-у са могућностима као што су обрнути приступ шкољци, преусмеравање TCP саобраћаја и латерално кретање

Зашто је ClickFix опасан

Метода ClickFix је добила на замаху у круговима сајбер криминала јер се у великој мери ослања на људску интеракцију. Корисници су манипулисани да сами покрећу команде, заобилазећи многе аутоматизоване безбедносне алате. Уобичајени вектори испоруке укључују:

• Фишинг имејлови
• Кампање злонамерног оглашавања
• Компромиси са веб-сајтовима који се налазе у возилу

Да би повећали кредибилитет, нападачи се често лажно представљају као познати брендови, провере на Cloudflare-у или чак верификације Discord сервера.

Комерцијализација ClickFix комплета

Од краја 2024. године, ClickFix конструктори су се појавили на подземним форумима, пласирани као „Win + R“ комплети. Цене се обично крећу од 200 до 1.500 долара месечно, у зависности од функција. Појединачне компоненте, као што су изворни код, одредишне странице или скрипте командне линије, често се продају засебно за 200–500 долара.

Неки напредни комплети комбинују ClickFix креаторе са другим учитавачима злонамерног софтвера и нуде:

• Готове одредишне странице са различитим мамацима
• Команде које гарантовано заобилазе антивирусну детекцију
• Опције за истрајност и избегавање SmartScreen-а

Одбрамбене мере

Да би се супротставиле инфекцијама заснованим на ClickFix-у, организације би требало да усвоје проактивне мере одбране. Препоручени кораци укључују:

• Ограничавање или онемогућавање дијалога „Покрени“ у систему Windows где је то изводљиво.
• Спровођење редовних симулација фишинга и социјалног инжењеринга ради обуке корисника.
• Имплементација робусног евидентирања и праћења ради брзог откривања необичних извршавања PowerShell-а или скрипти.

Фокусирањем на превенцију и рано откривање, организације могу значајно смањити ризик који представљају кампање које укључују ClickFix и CORNFLAKE.V3.