CORNFLAKE.V3 Bakdörr
Hotaktörer utnyttjar i allt högre grad en bedräglig teknik som kallas ClickFix för att distribuera en sofistikerad bakdörr, CORNFLAKE.V3. Säkerhetsforskare som spårar aktiviteten, betecknad UNC5518, har kopplat den till en access-as-a-service-operation där falska CAPTCHA-sidor lurar offer att utföra skadliga kommandon. När åtkomst erhållits säljs den vidare eller delas med andra cyberkriminella grupper för vidare utnyttjande.
Innehållsförteckning
Hur attacken börjar
Infektionskedjan börjar ofta när användare interagerar med SEO-förgiftade sökresultat eller skadliga annonser. Offren omdirigeras till en falsk CAPTCHA-verifieringssida, utformad för att likna Cloudflares Turnstile eller andra legitima tjänster. I tron att de löser en verifieringsutmaning vägleds användarna istället att kopiera och klistra in ett skadligt PowerShell-skript i Windows Kör-dialogruta, vilket ger angriparna det fotfäste de behöver.
Hotaktörers inblandning
Den stulna åtkomsten från UNC5518-kampanjer har utnyttjats av minst två olika grupper:
- UNC5774 – en ekonomiskt motiverad aktör som levererar CORNFLAKE för att distribuera ytterligare nyttolaster.
- UNC4108 – en grupp med oklara motiv, observerade med PowerShell för att släppa skadlig kod som VOLTMARKER och NetSupport RAT.
Detta visar hur ClickFix fungerar som en inkörsport för en mängd olika skadliga uppföljningsaktiviteter.
Inuti CORNFLAKE.V3
Bakdörren CORNFLAKE.V3 finns i både JavaScript- och PHP-varianter. Den är utformad för att:
- Kör olika nyttolaster via HTTP, inklusive körbara filer, DLL-filer, JavaScript, batchfiler och PowerShell-kommandon.
- Samla in grundläggande systemdata och skicka den till en angriparkontrollerad server via Cloudflare-tunnlar för döljning.
Till skillnad från sin föregångare V2, som endast fungerade som en nedladdare, introducerar V3 persistens genom att modifiera Windows Registry Run-nycklar och stöder ett bredare utbud av nyttolaster. Minst tre nyttolaster har distribuerats genom den, inklusive:
- Ett Active Directory-rekognoseringsverktyg
- Ett Kerberoasting-skript för stöld av autentiseringsuppgifter
WINDYTWIST.SEA, en C-baserad bakdörr med funktioner som omvänd skalåtkomst, TCP-trafikreläering och lateral förflyttning
Varför ClickFix är farligt
ClickFix-metoden har fått fart i cyberkriminella kretsar eftersom den i hög grad förlitar sig på mänsklig interaktion. Användare manipuleras att själva köra kommandon och kringgår många automatiserade säkerhetsverktyg. Vanliga leveransvektorer inkluderar:
- Nätfiskemejl
- Skadliga annonseringskampanjer
- Drive-by-webbplatskompromisser
För att öka trovärdigheten utger sig angripare ofta för att vara välkända varumärken, Cloudflare-kontroller eller till och med Discord-serververifieringar.
Kommersialisering av ClickFix-kit
Sedan slutet av 2024 har ClickFix-byggare dykt upp på underjordiska forum och marknadsförts som "Win + R"-kit. Priserna varierar vanligtvis från 200 till 1 500 dollar per månad, beroende på funktionerna. Enskilda komponenter, såsom källkod, landningssidor eller kommandoradsskript, säljs ofta separat för 200–500 dollar.
Vissa avancerade kit kombinerar ClickFix-byggare med andra program som laddar skadlig kod och erbjuder:
- Färdiga landningssidor med olika beten
- Kommandon garanterat kringgår antivirusdetektering
- Alternativ för persistens och SmartScreen-undvikande
Försvarsåtgärder
För att motverka ClickFix-baserade infektioner bör organisationer anta proaktiva försvar. Rekommenderade åtgärder inkluderar:
- Begränsa eller inaktivera Windows Kör-dialogruta där det är möjligt.
- Genomför regelbundna simuleringar av nätfiske och social engineering för att utbilda användare.
- Implementera robust loggning och övervakning för att snabbt upptäcka ovanliga PowerShell- eller skriptkörningar.
Genom att fokusera på både förebyggande åtgärder och tidig upptäckt kan organisationer avsevärt minska risken som kampanjer som involverar ClickFix och CORNFLAKE.V3 utgör.
