ClickFix Malware
En ny strategi för distribution av skadlig programvara använder vilseledande meddelanden som liknar Google Chrome, Microsoft Word och OneDrive-fel. Dessa falska varningar syftar till att lura användare att utföra hotfulla PowerShell "fixar", som i slutändan installerar skadlig programvara. Denna kampanj har identifierats och använts av olika hotaktörer, inklusive de som är associerade med ClearFake, en ny grupp känd som ClickFix, och den ökända hotaktören TA571. TA571 är känd för sin roll som spamdistributör, ansvarig för att sprida stora volymer e-postmeddelanden som ofta leder till skadlig programvara och ransomware-infektioner.
Tidigare involverade ClearFake-attacker webbplatsöverlagringar som lurade besökare att installera skadlig programvara genom att posera som falska webbläsaruppdateringar.
Innehållsförteckning
Falska felvarningar kan leda till hot om skadlig programvara
I de rapporterade attackerna har hotaktörer utökat sina metoder till att inkludera JavaScript inbäddat i HTML-bilagor och komprometterade webbplatser. Denna taktik involverar nu överlagringar som simulerar falska fel från Google Chrome, Microsoft Word och OneDrive. Dessa vilseledande varningar uppmanar besökare att klicka på en knapp för att kopiera en PowerShell "fix" till deras urklipp och instruera dem att klistra in och köra den antingen i en Kör-dialogruta eller PowerShell-prompt.
Även om denna attackkedja är beroende av betydande användarinteraktion, är dess sociala ingenjörskonst tillräckligt sofistikerad för att ge användarna vad som verkar vara ett genuint problem och en lösning samtidigt. Detta kan tvinga användarna att agera hastigt utan att fullständigt bedöma de förknippade riskerna. Infosec-forskare har identifierat flera nyttolaster som används i dessa attacker, inklusive DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , en klippbordskapare och Lumma Stealer .
Bedrägliga skript släpper skadlig programvara till användarnas enheter
Analytiker har identifierat tre distinkta attackkedjor som främst kännetecknas av deras initiala skeden, med endast den första som inte är definitivt kopplad till TA571.
I det här första scenariot, associerat med hotaktörer kopplade till ClearFake, besöker användare komprometterade webbplatser som laddar skadliga skript på blockkedjan via Binances Smart Chain-kontrakt. Dessa skript utför kontroller och utlöser falska Google Chrome-varningar som hävdar problem med webbsidans visning. Dialogrutan uppmanar sedan besökarna att installera ett "rotcertifikat" genom att kopiera ett PowerShell-skript till Windows Urklipp och köra det i en Windows PowerShell (admin)-konsol.
Vid körning validerar PowerShell-skriptet målenheten. Den fortsätter med att utföra åtgärder som att tömma DNS-cachen, rensa innehållet i urklipp, visa ett distraktionsmeddelande och ladda ner ett fjärrstyrt PowerShell-skript. Det här skriptet utför i sin tur anti-VM-kontroller innan nedladdningen av en nyttolast som stjäl information påbörjas.
ClickFix och Lure-e-postmeddelanden som används som alternativa attackkedjor
Den andra attackkedjan är kopplad till kampanjen "ClickFix", som använder webbplatsinjektioner på utsatta webbplatser för att skapa en iframe-överlagring som visar ett falskt Google Chrome-fel. Användare uppmanas att öppna "Windows PowerShell (Admin)" och klistra in den medföljande koden, vilket resulterar i samma infektioner som nämnts tidigare.
En annan infektionsmetod involverar e-postbaserade attacker med HTML-bilagor som liknar Microsoft Word-dokument. Användare uppmanas att installera tillägget "Word Online" för att se dokumentet korrekt. Felmeddelandet ger alternativen "Hur man åtgärdar" och "Auto-fix". Om du väljer "Hur man fixar" kopieras ett base64-kodat PowerShell-kommando till urklippet och instruerar användarna att klistra in det i PowerShell. 'Auto-fix' använder sök-ms-protokollet för att visa en WebDAV-värd 'fix.msi'- eller 'fix.vbs'-fil från en fjärrstyrd filresurs. I dessa fall laddar PowerShell-kommandona ner och kör antingen en MSI-fil eller ett VBS-skript, vilket leder till infektioner av Matanbuchus respektive DarkGate.
Under dessa attacker utnyttjar hotaktörer användarnas bristande medvetenhet om riskerna med att utföra PowerShell-kommandon på sina system. De utnyttjar också Windows oförmåga att upptäcka och förhindra de skadliga åtgärder som utlöses av den inklistrade koden.
De olika attackkedjorna som observerats av forskare indikerar att TA571 aktivt utforskar olika metoder för att förbättra effektiviteten och upptäcka ytterligare vägar för att infektera ett större antal system. Detta adaptiva tillvägagångssätt understryker cyberbrottslingarnas engagemang för att utveckla sin taktik och utöka sin påverkan inom cybersäkerhetslandskapet.
