CORNFLAKE.V3 బ్యాక్‌డోర్

బెదిరింపులకు పాల్పడేవారు క్లిక్‌ఫిక్స్ అనే మోసపూరిత టెక్నిక్‌ను ఉపయోగించి CORNFLAKE.V3 అనే అధునాతన బ్యాక్‌డోర్‌ను పంపిణీ చేస్తున్నారు. ఈ యాక్టివిటీని ట్రాక్ చేస్తున్న భద్రతా పరిశోధకులు, UNC5518గా నియమించబడ్డారు, దీనిని యాక్సెస్-యాజ్-ఎ-సర్వీస్ ఆపరేషన్‌తో అనుసంధానించారు, దీనిలో నకిలీ CAPTCHA పేజీలు బాధితులను మోసగించి హానికరమైన ఆదేశాలను అమలు చేస్తాయి. యాక్సెస్ పొందిన తర్వాత, దానిని తిరిగి అమ్ముతారు లేదా మరింత దోపిడీ కోసం ఇతర సైబర్ నేరస్థుల సమూహాలతో పంచుకుంటారు.

దాడి ఎలా ప్రారంభమవుతుంది

వినియోగదారులు SEO- విషపూరిత శోధన ఫలితాలు లేదా హానికరమైన ప్రకటనలతో సంభాషించినప్పుడు ఇన్ఫెక్షన్ గొలుసు తరచుగా ప్రారంభమవుతుంది. బాధితులు క్లౌడ్‌ఫ్లేర్ యొక్క టర్న్‌స్టైల్ లేదా ఇతర చట్టబద్ధమైన సేవలను పోలి ఉండేలా రూపొందించబడిన నకిలీ CAPTCHA ధృవీకరణ పేజీకి దారి మళ్లించబడతారు. వారు ధృవీకరణ సవాలును పరిష్కరిస్తున్నారని నమ్ముతూ, వినియోగదారులు బదులుగా Windows Run డైలాగ్ బాక్స్‌లో హానికరమైన పవర్‌షెల్ స్క్రిప్ట్‌ను కాపీ చేసి అతికించడానికి మార్గనిర్దేశం చేయబడతారు, దాడి చేసేవారికి అవసరమైన స్థావరాన్ని ఇస్తారు.

బెదిరింపు నటుడి ప్రమేయం

UNC5518 ప్రచారాల నుండి దొంగిలించబడిన యాక్సెస్‌ను కనీసం రెండు విభిన్న సమూహాలు ఉపయోగించుకున్నాయి:

• UNC5774 – అదనపు పేలోడ్‌లను మోహరించడానికి CORNFLAKEను పంపిణీ చేస్తున్న ఆర్థికంగా ప్రేరణ పొందిన నటుడు.
• UNC4108 – అస్పష్టమైన ఉద్దేశ్యాలు కలిగిన ఒక సమూహం, VOLTMARKER మరియు NetSupport RAT వంటి మాల్వేర్‌లను వదలడానికి PowerShellను ఉపయోగిస్తున్నట్లు గమనించబడింది.

ఇది వివిధ రకాల హానికరమైన ఫాలో-అప్ కార్యకలాపాలకు ClickFix ఎలా గేట్‌వేగా పనిచేస్తుందో ప్రదర్శిస్తుంది.

CORNFLAKE.V3 లోపల

CORNFLAKE.V3 బ్యాక్‌డోర్ జావాస్క్రిప్ట్ మరియు PHP వేరియంట్‌లలో ఉంది. ఇది దీని కోసం రూపొందించబడింది:

• ఎక్జిక్యూటబుల్స్, DLLలు, జావాస్క్రిప్ట్, బ్యాచ్ ఫైల్స్ మరియు పవర్‌షెల్ ఆదేశాలతో సహా వివిధ పేలోడ్‌లను HTTP ద్వారా అమలు చేయండి.
• ప్రాథమిక సిస్టమ్ డేటాను సేకరించి, దానిని దాచడానికి క్లౌడ్‌ఫ్లేర్ సొరంగాల ద్వారా దాడి చేసేవారి-నియంత్రిత సర్వర్‌కు పంపండి.

దాని ముందున్న V2 వలె కాకుండా, ఇది డౌన్‌లోడ్‌గా మాత్రమే పనిచేసింది, V3 విండోస్ రిజిస్ట్రీ రన్ కీలను సవరించడం ద్వారా నిలకడను పరిచయం చేస్తుంది మరియు విస్తృత శ్రేణి పేలోడ్‌లకు మద్దతు ఇస్తుంది. దీని ద్వారా కనీసం మూడు పేలోడ్‌లు పంపిణీ చేయబడ్డాయి, వాటిలో:

• యాక్టివ్ డైరెక్టరీ నిఘా సాధనం
• ఆధారాల దొంగతనం కోసం కెర్బరోస్టింగ్ స్క్రిప్ట్

WINDYTWIST.SEA, రివర్స్ షెల్ యాక్సెస్, TCP ట్రాఫిక్ రిలేయింగ్ మరియు లాటరల్ మూవ్‌మెంట్ వంటి సామర్థ్యాలతో కూడిన C-ఆధారిత బ్యాక్‌డోర్.

క్లిక్‌ఫిక్స్ ఎందుకు ప్రమాదకరం

క్లిక్‌ఫిక్స్ పద్ధతి సైబర్ నేరస్థుల వర్గాలలో ఊపందుకుంది ఎందుకంటే ఇది మానవ పరస్పర చర్యపై ఎక్కువగా ఆధారపడుతుంది. వినియోగదారులు అనేక ఆటోమేటెడ్ భద్రతా సాధనాలను దాటవేసి, ఆదేశాలను అమలు చేయడంలో తారుమారు చేయబడతారు. సాధారణ డెలివరీ వెక్టర్లలో ఇవి ఉన్నాయి:

• ఫిషింగ్ ఇమెయిల్‌లు
• మాల్వర్టైజింగ్ ప్రచారాలు
• డ్రైవ్-బై వెబ్‌సైట్ రాజీలు

విశ్వసనీయతను పెంచడానికి, దాడి చేసేవారు తరచుగా ప్రసిద్ధ బ్రాండ్‌లు, క్లౌడ్‌ఫ్లేర్ తనిఖీలు లేదా డిస్కార్డ్ సర్వర్ ధృవీకరణలను కూడా అనుకరిస్తారు.

క్లిక్‌ఫిక్స్ కిట్‌ల వాణిజ్యీకరణ

2024 చివరి నుండి, క్లిక్‌ఫిక్స్ బిల్డర్లు భూగర్భ ఫోరమ్‌లలో కనిపించారు, వీటిని 'విన్ + ఆర్' కిట్‌లుగా మార్కెట్ చేస్తున్నారు. ధరలు సాధారణంగా ఫీచర్‌లను బట్టి నెలకు $200 నుండి $1,500 వరకు ఉంటాయి. సోర్స్ కోడ్, ల్యాండింగ్ పేజీలు లేదా కమాండ్-లైన్ స్క్రిప్ట్‌లు వంటి వ్యక్తిగత భాగాలు తరచుగా విడిగా $200–$500కి అమ్ముడవుతాయి.

కొన్ని అధునాతన కిట్‌లు క్లిక్‌ఫిక్స్ బిల్డర్‌లను ఇతర మాల్వేర్ లోడర్‌లతో కలిపి అందిస్తాయి మరియు వీటిని అందిస్తాయి:

• వివిధ ఆకర్షణలతో రెడీమేడ్ ల్యాండింగ్ పేజీలు
• యాంటీవైరస్ గుర్తింపును దాటవేయడానికి ఆదేశాలు హామీ ఇవ్వబడ్డాయి
• నిలకడ మరియు స్మార్ట్‌స్క్రీన్ ఎగవేత కోసం ఎంపికలు

రక్షణ చర్యలు

ClickFix ఆధారిత ఇన్ఫెక్షన్లను ఎదుర్కోవడానికి, సంస్థలు చురుకైన రక్షణలను అవలంబించాలి. సిఫార్సు చేయబడిన దశలు:

• సాధ్యమైన చోట విండోస్ రన్ డైలాగ్‌ను పరిమితం చేయడం లేదా నిలిపివేయడం.
• వినియోగదారులకు శిక్షణ ఇవ్వడానికి క్రమం తప్పకుండా ఫిషింగ్ మరియు సోషల్ ఇంజనీరింగ్ అనుకరణలను నిర్వహించడం.
• అసాధారణ పవర్‌షెల్ లేదా స్క్రిప్ట్ అమలులను త్వరగా గుర్తించడానికి బలమైన లాగింగ్ మరియు పర్యవేక్షణను అమలు చేయడం.

నివారణ మరియు ముందస్తు గుర్తింపు రెండింటిపై దృష్టి పెట్టడం ద్వారా, సంస్థలు ClickFix మరియు CORNFLAKE.V3 లతో కూడిన ప్రచారాల వల్ల కలిగే ప్రమాదాన్ని గణనీయంగా తగ్గించగలవు.