ClickFix Malware
กลยุทธ์การกระจายมัลแวร์ล่าสุดใช้การแจ้งเตือนที่หลอกลวงซึ่งคล้ายกับข้อผิดพลาดของ Google Chrome, Microsoft Word และ OneDrive การแจ้งเตือนปลอมเหล่านี้มีจุดมุ่งหมายเพื่อหลอกลวงผู้ใช้ให้ดำเนินการ 'แก้ไข' PowerShell ที่คุกคาม ซึ่งท้ายที่สุดจะติดตั้งมัลแวร์ แคมเปญนี้ได้รับการระบุและใช้งานโดยผู้ก่อภัยคุกคามต่างๆ รวมถึงผู้ที่เกี่ยวข้องกับ ClearFake กลุ่มใหม่ที่เรียกว่า ClickFix และผู้ก่อภัยคุกคาม TA571 ที่โด่งดัง TA571 เป็นที่รู้จักจากบทบาทในฐานะผู้จัดจำหน่ายสแปม ซึ่งรับผิดชอบในการเผยแพร่อีเมลจำนวนมากที่มักนำไปสู่การติดมัลแวร์และแรนซัมแวร์
ก่อนหน้านี้ การโจมตี ClearFake เกี่ยวข้องกับการซ้อนทับเว็บไซต์ที่หลอกผู้เยี่ยมชมให้ติดตั้งมัลแวร์โดยปลอมตัวเป็นการอัปเดตเบราว์เซอร์ปลอม
สารบัญ
การแจ้งเตือนข้อผิดพลาดปลอมอาจส่งภัยคุกคามมัลแวร์
ในการโจมตีที่รายงาน ผู้แสดงภัยคุกคามได้ขยายวิธีการของตนเพื่อรวม JavaScript ที่ฝังอยู่ในไฟล์แนบ HTML และเว็บไซต์ที่ถูกบุกรุก กลยุทธ์เหล่านี้ตอนนี้เกี่ยวข้องกับการซ้อนทับที่จำลองข้อผิดพลาดปลอมจาก Google Chrome, Microsoft Word และ OneDrive การแจ้งเตือนที่หลอกลวงเหล่านี้กระตุ้นให้ผู้เยี่ยมชมคลิกปุ่มเพื่อคัดลอก 'แก้ไข' ของ PowerShell ไปยังคลิปบอร์ด โดยแนะนำให้วางและดำเนินการในกล่องโต้ตอบเรียกใช้หรือพร้อมท์ของ PowerShell
แม้ว่าห่วงโซ่การโจมตีนี้อาศัยการโต้ตอบของผู้ใช้ที่สำคัญ แต่วิศวกรรมทางสังคมก็มีความซับซ้อนเพียงพอที่จะนำเสนอสิ่งที่ดูเหมือนจะเป็นปัญหาและวิธีแก้ไขที่แท้จริงแก่ผู้ใช้ไปพร้อม ๆ กัน สิ่งนี้สามารถบังคับให้ผู้ใช้ดำเนินการอย่างเร่งรีบโดยไม่ต้องประเมินความเสี่ยงที่เกี่ยวข้องอย่างเต็มที่ นักวิจัยของ Infosec ได้ระบุเพย์โหลดต่างๆ ที่ใช้ในการโจมตีเหล่านี้ รวมถึง DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig นักจี้คลิปบอร์ด และ Lumma Stealer
สคริปต์หลอกลวงปล่อยมัลแวร์ไปยังอุปกรณ์ของผู้ใช้
นักวิเคราะห์ได้ระบุกลุ่มการโจมตีที่แตกต่างกันสามกลุ่ม โดยหลักๆ แล้วมีความโดดเด่นในระยะเริ่มแรก โดยมีเพียงกลุ่มการโจมตีกลุ่มแรกเท่านั้นที่ไม่เชื่อมโยงกับ TA571 อย่างชัดเจน
ในสถานการณ์แรกนี้ ซึ่งเกี่ยวข้องกับผู้แสดงภัยคุกคามที่เชื่อมต่อกับ ClearFake ผู้ใช้เยี่ยมชมเว็บไซต์ที่ถูกบุกรุกซึ่งโหลดสคริปต์ที่เป็นอันตรายซึ่งโฮสต์บนบล็อกเชนผ่านสัญญา Smart Chain ของ Binance สคริปต์เหล่านี้ดำเนินการตรวจสอบและเรียกใช้การแจ้งเตือน Google Chrome ปลอมโดยอ้างว่ามีปัญหากับการแสดงหน้าเว็บ กล่องโต้ตอบจะแจ้งให้ผู้เยี่ยมชมติดตั้ง 'ใบรับรองหลัก' โดยการคัดลอกสคริปต์ PowerShell ไปยังคลิปบอร์ดของ Windows และดำเนินการในคอนโซล Windows PowerShell (ผู้ดูแลระบบ)
เมื่อดำเนินการ สคริปต์ PowerShell จะตรวจสอบอุปกรณ์เป้าหมาย โดยจะดำเนินการต่างๆ เช่น การล้างแคช DNS การล้างเนื้อหาในคลิปบอร์ด การแสดงข้อความรบกวน และการดาวน์โหลดสคริปต์ PowerShell ระยะไกล ในทางกลับกัน สคริปต์นี้จะดำเนินการตรวจสอบ anti-VM ก่อนที่จะเริ่มดาวน์โหลดเพย์โหลดที่ขโมยข้อมูล
ClickFix และ Lure Emails ที่ใช้เป็นเครือข่ายการโจมตีทางเลือก
ห่วงโซ่การโจมตีที่สองเชื่อมโยงกับแคมเปญ 'ClickFix' โดยใช้การแทรกเว็บไซต์บนไซต์ที่ถูกบุกรุกเพื่อสร้างการซ้อนทับ iframe ที่นำเสนอข้อผิดพลาด Google Chrome ปลอม ผู้ใช้จะถูกนำทางให้เปิด 'Windows PowerShell (Admin)' และวางโค้ดที่ให้มา ซึ่งส่งผลให้เกิดการติดไวรัสแบบเดียวกับที่กล่าวไว้ก่อนหน้านี้
วิธีการติดไวรัสอีกวิธีหนึ่งเกี่ยวข้องกับการโจมตีทางอีเมลโดยใช้ไฟล์แนบ HTML ที่คล้ายกับเอกสาร Microsoft Word ผู้ใช้จะได้รับแจ้งให้ติดตั้งส่วนขยาย 'Word Online' เพื่อดูเอกสารอย่างถูกต้อง ข้อความแสดงข้อผิดพลาดแสดงตัวเลือก 'วิธีแก้ไข' และ 'แก้ไขอัตโนมัติ' การเลือก 'วิธีแก้ไข' จะคัดลอกคำสั่ง PowerShell ที่เข้ารหัส base64 ไปยังคลิปบอร์ด โดยแนะนำให้ผู้ใช้วางลงใน PowerShell 'แก้ไขอัตโนมัติ' ใช้โปรโตคอล search-ms เพื่อแสดงไฟล์ 'fix.msi' หรือ 'fix.vbs' ที่โฮสต์โดย WebDAV จากการแชร์ไฟล์ที่ผู้โจมตีควบคุมจากระยะไกล ในกรณีเหล่านี้ คำสั่ง PowerShell จะดาวน์โหลดและดำเนินการไฟล์ MSI หรือสคริปต์ VBS ซึ่งนำไปสู่การติดไวรัสโดย Matanbuchus หรือ DarkGate ตามลำดับ
ตลอดการโจมตีเหล่านี้ ผู้คุกคามใช้ประโยชน์จากการที่ผู้ใช้ขาดความตระหนักเกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการดำเนินการคำสั่ง PowerShell บนระบบของพวกเขา นอกจากนี้ยังใช้ประโยชน์จากการที่ Windows ไม่สามารถตรวจจับและป้องกันการกระทำที่เป็นอันตรายที่เกิดจากโค้ดที่วางได้
ห่วงโซ่การโจมตีที่หลากหลายที่นักวิจัยสังเกตพบบ่งชี้ว่า TA571 กำลังสำรวจวิธีการที่หลากหลายเพื่อเพิ่มประสิทธิภาพและค้นพบหนทางเพิ่มเติมสำหรับการแพร่เชื้อไปยังระบบจำนวนมากขึ้น แนวทางการปรับตัวนี้ตอกย้ำความมุ่งมั่นของอาชญากรไซเบอร์ในการพัฒนากลยุทธ์และขยายผลกระทบภายในภูมิทัศน์ความปลอดภัยทางไซเบอร์
