ClickFix Malware

ఇటీవలి మాల్వేర్ పంపిణీ వ్యూహం Google Chrome, Microsoft Word మరియు OneDrive ఎర్రర్‌లను పోలి ఉండే మోసపూరిత నోటిఫికేషన్‌లను ఉపయోగిస్తుంది. ఈ నకిలీ హెచ్చరికలు వినియోగదారులను మోసగించి బెదిరింపు పవర్‌షెల్ 'పరిష్కారాలను' అమలు చేయడం లక్ష్యంగా పెట్టుకున్నాయి, ఇవి చివరికి మాల్‌వేర్‌ను ఇన్‌స్టాల్ చేస్తాయి. ఈ ప్రచారాన్ని క్లియర్‌ఫేక్, క్లిక్‌ఫిక్స్ అని పిలవబడే కొత్త సమూహం మరియు అపఖ్యాతి పాలైన TA571 థ్రెట్ యాక్టర్‌తో సహా వివిధ ముప్పు నటులు గుర్తించారు మరియు ఉపయోగించారు. TA571 స్పామ్ డిస్ట్రిబ్యూటర్‌గా దాని పాత్రకు ప్రసిద్ధి చెందింది, ఇది తరచుగా మాల్వేర్ మరియు ransomware ఇన్‌ఫెక్షన్‌లకు దారితీసే పెద్ద మొత్తంలో ఇమెయిల్‌లను వ్యాప్తి చేయడానికి బాధ్యత వహిస్తుంది.

గతంలో, ClearFake దాడులు వెబ్‌సైట్ ఓవర్‌లేలను కలిగి ఉన్నాయి, ఇవి నకిలీ బ్రౌజర్ నవీకరణలుగా చూపడం ద్వారా మాల్వేర్‌ను ఇన్‌స్టాల్ చేసేలా సందర్శకులను మోసగించాయి.

నకిలీ ఎర్రర్ హెచ్చరికలు మాల్వేర్ బెదిరింపులను అందజేయవచ్చు

నివేదించబడిన దాడులలో, బెదిరింపు నటులు HTML జోడింపులు మరియు రాజీపడిన వెబ్‌సైట్‌లలో పొందుపరిచిన JavaScriptను చేర్చడానికి వారి పద్ధతులను విస్తరించారు. ఈ వ్యూహాలు ఇప్పుడు Google Chrome, Microsoft Word మరియు OneDrive నుండి నకిలీ ఎర్రర్‌లను అనుకరించే అతివ్యాప్తులను కలిగి ఉంటాయి. ఈ మోసపూరిత హెచ్చరికలు సందర్శకులను వారి క్లిప్‌బోర్డ్‌కు పవర్‌షెల్ 'ఫిక్స్'ని కాపీ చేయడానికి బటన్‌పై క్లిక్ చేయమని ప్రోత్సహిస్తాయి, వాటిని రన్ డైలాగ్ లేదా పవర్‌షెల్ ప్రాంప్ట్‌లో అతికించి, అమలు చేయమని సూచిస్తాయి.

ఈ దాడి గొలుసు గణనీయమైన వినియోగదారు పరస్పర చర్యపై ఆధారపడి ఉండగా, దాని సోషల్ ఇంజనీరింగ్ వినియోగదారులకు నిజమైన సమస్యగా మరియు పరిష్కారాన్ని ఏకకాలంలో అందించడానికి తగినంత అధునాతనమైనది. ఇది సంబంధిత రిస్క్‌లను పూర్తిగా అంచనా వేయకుండానే తొందరపాటు చర్యకు వినియోగదారులను బలవంతం చేస్తుంది. ఇన్ఫోసెక్ పరిశోధకులు డార్క్‌గేట్ , మటన్‌బుచస్ , నెట్‌సపోర్ట్ , అమేడే లోడర్ , ఎక్స్‌ఎమ్‌రిగ్ , క్లిప్‌బోర్డ్ హైజాకర్ మరియు లుమ్మా స్టీలర్‌తో సహా ఈ దాడులలో ఉపయోగించిన అనేక పేలోడ్‌లను గుర్తించారు.

మోసపూరిత స్క్రిప్ట్‌లు వినియోగదారుల పరికరాలకు మాల్వేర్‌ను వదలుతాయి

విశ్లేషకులు మూడు విభిన్న దాడి గొలుసులను ప్రాథమికంగా వాటి ప్రారంభ దశల ద్వారా వేరు చేశారు, మొదటిది మాత్రమే TA571తో ఖచ్చితంగా అనుసంధానించబడలేదు.

ఈ మొదటి దృష్టాంతంలో, ClearFakeకి కనెక్ట్ చేయబడిన ముప్పు నటులతో అనుబంధించబడిన వినియోగదారులు Binance యొక్క స్మార్ట్ చైన్ ఒప్పందాల ద్వారా బ్లాక్‌చెయిన్‌లో హోస్ట్ చేయబడిన హానికరమైన స్క్రిప్ట్‌లను లోడ్ చేసే రాజీపడిన వెబ్‌సైట్‌లను సందర్శిస్తారు. ఈ స్క్రిప్ట్‌లు తనిఖీలను నిర్వహిస్తాయి మరియు వెబ్ పేజీ ప్రదర్శనతో సమస్యలను క్లెయిమ్ చేస్తూ నకిలీ Google Chrome హెచ్చరికలను ప్రేరేపిస్తాయి. డైలాగ్ అప్పుడు పవర్‌షెల్ స్క్రిప్ట్‌ను విండోస్ క్లిప్‌బోర్డ్‌కు కాపీ చేసి, విండోస్ పవర్‌షెల్ (అడ్మిన్) కన్సోల్‌లో అమలు చేయడం ద్వారా 'రూట్ సర్టిఫికేట్'ను ఇన్‌స్టాల్ చేయమని సందర్శకులను అడుగుతుంది.

అమలు చేసిన తర్వాత, PowerShell స్క్రిప్ట్ లక్ష్య పరికరాన్ని ధృవీకరిస్తుంది. ఇది DNS కాష్‌ను ఫ్లష్ చేయడం, క్లిప్‌బోర్డ్ కంటెంట్‌లను క్లియర్ చేయడం, డిస్ట్రాక్షన్ సందేశాన్ని ప్రదర్శించడం మరియు రిమోట్ పవర్‌షెల్ స్క్రిప్ట్‌ను డౌన్‌లోడ్ చేయడం వంటి చర్యలను కొనసాగిస్తుంది. ఈ స్క్రిప్ట్, సమాచారాన్ని దొంగిలించే పేలోడ్‌ని డౌన్‌లోడ్ చేయడానికి ముందు యాంటీ-విఎమ్ తనిఖీలను నిర్వహిస్తుంది.

ప్రత్యామ్నాయ దాడి గొలుసులుగా ఉపయోగించే ఇమెయిల్‌లను క్లిక్‌ఫిక్స్ మరియు ఎర

రెండవ దాడి గొలుసు 'ClickFix' ప్రచారానికి లింక్ చేయబడింది, నకిలీ Google Chrome లోపాన్ని ప్రదర్శించే iframe అతివ్యాప్తిని సృష్టించడానికి రాజీపడిన సైట్‌లలో వెబ్‌సైట్ ఇంజెక్షన్‌లను ఉపయోగిస్తుంది. వినియోగదారులు 'Windows PowerShell (అడ్మిన్)'ని తెరిచి, అందించిన కోడ్‌ను అతికించవలసిందిగా నిర్దేశించబడ్డారు, ఫలితంగా గతంలో పేర్కొన్న ఇన్‌ఫెక్షన్‌లు ఉంటాయి.

మరొక ఇన్ఫెక్షన్ పద్ధతిలో Microsoft Word డాక్యుమెంట్‌లను పోలి ఉండే HTML జోడింపులను ఉపయోగించి ఇమెయిల్ ఆధారిత దాడులు ఉంటాయి. పత్రాన్ని సరిగ్గా వీక్షించడానికి వినియోగదారులు 'Word Online' పొడిగింపును ఇన్‌స్టాల్ చేయమని ప్రాంప్ట్ చేయబడతారు. దోష సందేశం 'ఎలా పరిష్కరించాలి' మరియు 'ఆటో-ఫిక్స్' ఎంపికలను అందిస్తుంది. 'ఎలా పరిష్కరించాలి' ఎంచుకోవడం వలన బేస్64-ఎన్‌కోడ్ చేయబడిన పవర్‌షెల్ ఆదేశం క్లిప్‌బోర్డ్‌కు కాపీ చేయబడుతుంది, వినియోగదారులను పవర్‌షెల్‌లో అతికించమని ఆదేశిస్తుంది. రిమోట్ అటాకర్-నియంత్రిత ఫైల్ షేర్ నుండి WebDAV-హోస్ట్ చేసిన 'fix.msi' లేదా 'fix.vbs' ఫైల్‌ను ప్రదర్శించడానికి 'ఆటో-ఫిక్స్' శోధన-ms ప్రోటోకాల్‌ను ఉపయోగిస్తుంది. ఈ సందర్భాలలో, పవర్‌షెల్ ఆదేశాలు MSI ఫైల్ లేదా VBS స్క్రిప్ట్‌ని డౌన్‌లోడ్ చేసి అమలు చేస్తాయి, ఇది వరుసగా Matanbuchus లేదా DarkGate ద్వారా ఇన్ఫెక్షన్‌లకు దారి తీస్తుంది.

ఈ దాడుల్లో, బెదిరింపు నటులు తమ సిస్టమ్‌లపై పవర్‌షెల్ ఆదేశాలను అమలు చేయడం వల్ల కలిగే నష్టాల గురించి వినియోగదారులకు అవగాహన లేకపోవడాన్ని ఉపయోగించుకుంటారు. అతికించిన కోడ్ ద్వారా ప్రేరేపించబడిన హానికరమైన చర్యలను గుర్తించడంలో మరియు నిరోధించడంలో Windows యొక్క అసమర్థతను కూడా వారు ఉపయోగించుకుంటారు.

పరిశోధకులు గమనించిన వైవిధ్యమైన దాడి గొలుసులు TA571 సమర్ధతను మెరుగుపరచడానికి మరియు ఎక్కువ సంఖ్యలో సిస్టమ్‌లను సోకడానికి అదనపు మార్గాలను కనుగొనడానికి విభిన్న పద్ధతులను చురుకుగా అన్వేషిస్తోందని సూచిస్తున్నాయి. ఈ అనుకూల విధానం సైబర్‌క్రిమినల్స్ తమ వ్యూహాలను రూపొందించడంలో మరియు సైబర్‌ సెక్యూరిటీ ల్యాండ్‌స్కేప్‌లో వారి ప్రభావాన్ని విస్తరించడంలో నిబద్ధతను నొక్కి చెబుతుంది.