ClickFix Malware

சமீபத்திய தீம்பொருள் விநியோக உத்தியானது Google Chrome, Microsoft Word மற்றும் OneDrive பிழைகள் போன்ற ஏமாற்றும் அறிவிப்புகளைப் பயன்படுத்துகிறது. இந்த போலி விழிப்பூட்டல்கள் பயனர்களை ஏமாற்றி அச்சுறுத்தும் PowerShell 'திருத்தங்களை' செயல்படுத்துவதை நோக்கமாகக் கொண்டுள்ளன, இது இறுதியில் தீம்பொருளை நிறுவுகிறது. கிளியர்ஃபேக், கிளிக்ஃபிக்ஸ் என அழைக்கப்படும் புதிய குழு மற்றும் மோசமான TA571 அச்சுறுத்தல் நடிகர் உட்பட பல்வேறு அச்சுறுத்தல் நடிகர்களால் இந்த பிரச்சாரம் அடையாளம் காணப்பட்டு பயன்படுத்தப்பட்டது. TA571 ஒரு ஸ்பேம் விநியோகஸ்தராக அதன் பங்கிற்கு அறியப்படுகிறது, இது பெரும்பாலும் தீம்பொருள் மற்றும் ransomware தொற்றுகளுக்கு வழிவகுக்கும் பெரிய அளவிலான மின்னஞ்சல்களைப் பரப்புவதற்குப் பொறுப்பாகும்.

முன்னதாக, ClearFake தாக்குதல்கள் வலைத்தள மேலடுக்குகளை உள்ளடக்கியது, இது பார்வையாளர்களை ஏமாற்றி மால்வேரை நிறுவும் வகையில் போலி உலாவி புதுப்பிப்புகளாகக் காட்டப்பட்டது.

போலி பிழை எச்சரிக்கைகள் மால்வேர் அச்சுறுத்தல்களை வழங்கலாம்

புகாரளிக்கப்பட்ட தாக்குதல்களில், HTML இணைப்புகள் மற்றும் சமரசம் செய்யப்பட்ட வலைத்தளங்களில் உட்பொதிக்கப்பட்ட ஜாவாஸ்கிரிப்டைச் சேர்க்க அச்சுறுத்தல் நடிகர்கள் தங்கள் முறைகளை விரிவுபடுத்தியுள்ளனர். இந்த தந்திரோபாயங்கள் இப்போது கூகுள் குரோம், மைக்ரோசாஃப்ட் வேர்ட் மற்றும் ஒன் டிரைவ் ஆகியவற்றிலிருந்து போலி பிழைகளை உருவகப்படுத்தும் மேலடுக்குகளை உள்ளடக்கியது. இந்த ஏமாற்றும் விழிப்பூட்டல்கள் பார்வையாளர்களை தங்கள் கிளிப்போர்டுக்கு பவர்ஷெல் 'பிக்ஸ்' ஐ நகலெடுக்க ஒரு பொத்தானைக் கிளிக் செய்யும்படி தூண்டுகிறது, அதை ரன் டயலாக் அல்லது பவர்ஷெல் வரியில் ஒட்டவும் செயல்படுத்தவும் அறிவுறுத்துகிறது.

இந்த தாக்குதல் சங்கிலி குறிப்பிடத்தக்க பயனர் தொடர்புகளை நம்பியிருக்கும் போது, அதன் சமூக பொறியியல் ஒரு உண்மையான பிரச்சனை மற்றும் ஒரே நேரத்தில் தீர்வாக தோன்றுவதை பயனர்களுக்கு வழங்கும் அளவுக்கு அதிநவீனமானது. இது தொடர்புடைய அபாயங்களை முழுமையாக மதிப்பிடாமல் பயனர்களை அவசரமாகச் செயல்படத் தூண்டும். டார்க்கேட் , மாடன்புச்சஸ் , நெட் சப்போர்ட் , அமேடி லோடர் , எக்ஸ்எம்ஆர்ஜிக் , கிளிப்போர்டு ஹைஜாக்கர் மற்றும் லும்மா ஸ்டீலர் உட்பட இந்தத் தாக்குதல்களில் பயன்படுத்தப்பட்ட பல பேலோடுகளை Infosec ஆராய்ச்சியாளர்கள் அடையாளம் கண்டுள்ளனர்.

மோசடியான ஸ்கிரிப்ட்கள் மால்வேரை பயனர்களின் சாதனங்களுக்கு விடுகின்றன

பகுப்பாய்வாளர்கள் மூன்று தனித்துவமான தாக்குதல் சங்கிலிகளை முதன்மையாக அவற்றின் ஆரம்ப நிலைகளால் வேறுபடுத்திக் கண்டறிந்துள்ளனர், முதலாவது மட்டும் TA571 உடன் உறுதியாக இணைக்கப்படவில்லை.

இந்த முதல் சூழ்நிலையில், ClearFake உடன் இணைக்கப்பட்ட அச்சுறுத்தல் நடிகர்களுடன் தொடர்புடைய பயனர்கள், Binance இன் ஸ்மார்ட் செயின் ஒப்பந்தங்கள் மூலம் பிளாக்செயினில் ஹோஸ்ட் செய்யப்பட்ட தீங்கிழைக்கும் ஸ்கிரிப்ட்களை ஏற்றும் சமரசம் செய்யப்பட்ட வலைத்தளங்களைப் பார்வையிடுகின்றனர். இந்த ஸ்கிரிப்டுகள் சோதனைகளை நடத்தி, வலைப்பக்கக் காட்சியில் சிக்கல்களைக் கூறி போலி Google Chrome விழிப்பூட்டல்களைத் தூண்டும். பவர்ஷெல் ஸ்கிரிப்டை விண்டோஸ் கிளிப்போர்டுக்கு நகலெடுத்து, அதை விண்டோஸ் பவர்ஷெல் (நிர்வாகம்) கன்சோலில் இயக்குவதன் மூலம் 'ரூட் சான்றிதழை' நிறுவுவதற்கு இந்த உரையாடல் பார்வையாளர்களைத் தூண்டுகிறது.

செயல்படுத்தப்பட்டவுடன், பவர்ஷெல் ஸ்கிரிப்ட் இலக்கு சாதனத்தை சரிபார்க்கிறது. இது DNS தற்காலிக சேமிப்பை சுத்தப்படுத்துதல், கிளிப்போர்டு உள்ளடக்கங்களை அழித்தல், கவனச்சிதறல் செய்தியைக் காண்பித்தல் மற்றும் ரிமோட் பவர்ஷெல் ஸ்கிரிப்டைப் பதிவிறக்குதல் போன்ற செயல்களைச் செய்கிறது. இந்த ஸ்கிரிப்ட், தகவலைத் திருடும் பேலோடைப் பதிவிறக்கத் தொடங்கும் முன், எதிர்ப்பு VM சோதனைகளை நடத்துகிறது.

கிளிக்ஃபிக்ஸ் மற்றும் லூர் மின்னஞ்சல்கள் மாற்று தாக்குதல் சங்கிலிகளாகப் பயன்படுத்தப்படுகின்றன

இரண்டாவது தாக்குதல் சங்கிலி 'கிளிக்ஃபிக்ஸ்' பிரச்சாரத்துடன் இணைக்கப்பட்டுள்ளது, சமரசம் செய்யப்பட்ட தளங்களில் இணையதள ஊசிகளைப் பயன்படுத்தி, போலியான Google Chrome பிழையை வழங்கும் iframe மேலடுக்கை உருவாக்குகிறது. பயனர்கள் 'Windows PowerShell (நிர்வாகம்)' ஐத் திறந்து, வழங்கப்பட்ட குறியீட்டை ஒட்டுமாறு அறிவுறுத்தப்படுகிறார்கள், இதன் விளைவாக முன்னர் குறிப்பிட்ட அதே நோய்த்தொற்றுகள் ஏற்படும்.

மற்றொரு தொற்று முறையானது மைக்ரோசாஃப்ட் வேர்ட் ஆவணங்களைப் போன்ற HTML இணைப்புகளைப் பயன்படுத்தி மின்னஞ்சல் அடிப்படையிலான தாக்குதல்களை உள்ளடக்கியது. ஆவணத்தை சரியாகப் பார்க்க, 'Word Online' நீட்டிப்பை நிறுவ பயனர்கள் கேட்கப்படுகிறார்கள். பிழை செய்தியானது 'எப்படி சரிசெய்வது' மற்றும் 'தானியங்கு சரிசெய்தல்' விருப்பங்களை வழங்குகிறது. 'எப்படி சரிசெய்வது' என்பதைத் தேர்ந்தெடுப்பது, அடிப்படை64-குறியீடு செய்யப்பட்ட பவர்ஷெல் கட்டளையை கிளிப்போர்டுக்கு நகலெடுக்கிறது, பயனர்கள் அதை PowerShell இல் ஒட்டுமாறு அறிவுறுத்துகிறது. 'Auto-fix' ஆனது WebDAV-ஹோஸ்ட் செய்யப்பட்ட 'fix.msi' அல்லது 'fix.vbs' கோப்பை ரிமோட் அட்டாக்கர்-கண்ட்ரோல்ட் ஃபைல் ஷேர் மூலம் காட்ட, தேடல்-எம்எஸ் நெறிமுறையைப் பயன்படுத்துகிறது. இந்த நிகழ்வுகளில், பவர்ஷெல் கட்டளைகள் ஒரு MSI கோப்பு அல்லது VBS ஸ்கிரிப்டை பதிவிறக்கம் செய்து செயல்படுத்துகிறது, இது முறையே Matanbuchus அல்லது DarkGate மூலம் நோய்த்தொற்றுகளுக்கு வழிவகுக்கிறது.

இந்த தாக்குதல்கள் முழுவதும், அச்சுறுத்தல் நடிகர்கள் தங்கள் கணினிகளில் PowerShell கட்டளைகளை செயல்படுத்துவதில் தொடர்புடைய அபாயங்கள் குறித்து பயனர்களின் விழிப்புணர்வின்மையைப் பயன்படுத்திக் கொள்கின்றனர். ஒட்டப்பட்ட குறியீட்டால் தூண்டப்படும் தீங்கான செயல்களைக் கண்டறிந்து தடுக்க விண்டோஸின் இயலாமையையும் அவர்கள் பயன்படுத்திக் கொள்கிறார்கள்.

ஆராய்ச்சியாளர்களால் கவனிக்கப்பட்ட பல்வேறு தாக்குதல் சங்கிலிகள், TA571 செயல்திறனை அதிகரிக்க மற்றும் அதிக எண்ணிக்கையிலான அமைப்புகளை பாதிக்க கூடுதல் பாதைகளைக் கண்டறிய பல்வேறு முறைகளை தீவிரமாக ஆராய்கிறது என்பதைக் குறிக்கிறது. இந்த தகவமைப்பு அணுகுமுறை சைபர் கிரைமினல்களின் தந்திரோபாயங்களை உருவாக்குவதற்கும், சைபர் செக்யூரிட்டி நிலப்பரப்பில் அவர்களின் தாக்கத்தை விரிவுபடுத்துவதற்கும் உள்ள அர்ப்பணிப்பை அடிக்கோடிட்டுக் காட்டுகிறது.