ClickFix Malware
Ang isang kamakailang diskarte sa pamamahagi ng malware ay gumagamit ng mga mapanlinlang na notification na kahawig ng mga error sa Google Chrome, Microsoft Word at OneDrive. Ang mga pekeng alertong ito ay naglalayong linlangin ang mga user na magsagawa ng mga nagbabantang 'pag-aayos' ng PowerShell, na sa huli ay nag-i-install ng malware. Ang kampanyang ito ay kinilala at ginamit ng iba't ibang mga aktor ng pagbabanta, kabilang ang mga nauugnay sa ClearFake, isang bagong grupo na kilala bilang ClickFix, at ang kilalang aktor na banta sa TA571. Kilala ang TA571 sa tungkulin nito bilang isang distributor ng spam, na responsable sa pagpapakalat ng malalaking volume ng mga email na kadalasang humahantong sa mga impeksyon sa malware at ransomware.
Dati, ang mga pag-atake ng ClearFake ay nagsasangkot ng mga overlay ng website na nanlinlang sa mga bisita sa pag-install ng malware sa pamamagitan ng pagpapanggap bilang mga pekeng update sa browser.
Talaan ng mga Nilalaman
Maaaring Maghatid ng Mga Banta sa Malware ang Mga Fake Error Alerto
Sa mga naiulat na pag-atake, pinalawak ng mga banta ng aktor ang kanilang mga pamamaraan upang isama ang JavaScript na naka-embed sa mga HTML attachment at nakompromisong website. Kasama na ngayon sa mga taktikang ito ang mga overlay na gayahin ang mga pekeng error mula sa Google Chrome, Microsoft Word at OneDrive. Ang mga mapanlinlang na alerto na ito ay humihimok sa mga bisita na mag-click sa isang pindutan upang kopyahin ang isang PowerShell 'fix' sa kanilang clipboard, na nagtuturo sa kanila na i-paste at isagawa ito alinman sa isang Run dialog o PowerShell prompt.
Bagama't umaasa ang attack chain na ito sa makabuluhang pakikipag-ugnayan ng user, ang social engineering nito ay sapat na sopistikado upang ipakita sa mga user ang tila isang tunay na problema at solusyon nang sabay-sabay. Maaari nitong pilitin ang mga user na kumilos nang madalian nang hindi ganap na tinatasa ang mga nauugnay na panganib. Natukoy ng mga mananaliksik ng Infosec ang ilang mga payload na ginamit sa mga pag-atakeng ito, kabilang ang DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , isang clipboard hijacker, at ang Lumma Stealer .
Ang mga Mapanlinlang na Script ay Nag-drop ng Malware sa Mga Device ng Mga User
Natukoy ng mga analyst ang tatlong natatanging mga chain ng pag-atake na pangunahing nakikilala sa pamamagitan ng kanilang mga unang yugto, na ang una lamang ay hindi tiyak na nauugnay sa TA571.
Sa unang senaryo na ito, na nauugnay sa mga aktor ng pagbabanta na konektado sa ClearFake, binibisita ng mga user ang mga nakompromisong website na naglo-load ng mga malisyosong script na naka-host sa blockchain sa pamamagitan ng mga kontrata ng Smart Chain ng Binance. Ang mga script na ito ay nagsasagawa ng mga pagsusuri at nagti-trigger ng mga pekeng alerto sa Google Chrome na nagke-claim ng mga isyu sa pagpapakita ng Web page. Ang dialog ay mag-uudyok sa mga bisita na mag-install ng 'root certificate' sa pamamagitan ng pagkopya ng PowerShell script sa Windows Clipboard at pagsasagawa nito sa Windows PowerShell (Admin) console.
Kapag naisakatuparan, pinapatunayan ng PowerShell script ang target na device. Nagpapatuloy ito upang magsagawa ng mga aksyon tulad ng pag-flush ng DNS cache, pag-clear ng mga nilalaman ng clipboard, pagpapakita ng mensahe ng distraction at pag-download ng remote na PowerShell script. Ang script na ito, sa turn, ay nagsasagawa ng mga anti-VM na pagsusuri bago simulan ang pag-download ng isang payload sa pagnanakaw ng impormasyon.
ClickFix at Lure Email na Ginamit bilang Alternatibong Attack Chain
Ang ikalawang attack chain ay naka-link sa 'ClickFix' campaign, na gumagamit ng website injection sa mga nakompromisong site upang lumikha ng iframe overlay na nagpapakita ng pekeng Google Chrome error. Inutusan ang mga user na buksan ang 'Windows PowerShell (Admin)' at i-paste ang ibinigay na code, na nagreresulta sa parehong mga impeksyong nabanggit dati.
Ang isa pang paraan ng impeksyon ay nagsasangkot ng mga pag-atake na nakabatay sa email gamit ang mga HTML attachment na kahawig ng mga dokumento ng Microsoft Word. Ang mga gumagamit ay sinenyasan na i-install ang extension na 'Word Online' upang matingnan nang tama ang dokumento. Ang mensahe ng error ay nagbibigay ng mga opsyon na 'Paano ayusin' at 'Auto-fix'. Ang pagpili sa 'Paano ayusin' ay kinokopya ang isang base64-encoded na PowerShell command sa clipboard, na nagtuturo sa mga user na i-paste ito sa PowerShell. Ginagamit ng 'Auto-fix' ang search-ms protocol upang magpakita ng 'fix.msi' na naka-host sa WebDAV o 'fix.vbs' na file mula sa isang malayuang bahagi ng file na kinokontrol ng attacker. Sa mga pagkakataong ito, ang PowerShell ay nag-uutos na mag-download at magsagawa ng alinman sa isang MSI file o isang VBS script, na humahantong sa mga impeksyon ng Matanbuchus o DarkGate, ayon sa pagkakabanggit.
Sa kabuuan ng mga pag-atakeng ito, sinasamantala ng mga banta ng aktor ang kawalan ng kamalayan ng mga user tungkol sa mga panganib na nauugnay sa pagsasagawa ng mga utos ng PowerShell sa kanilang mga system. Pinapakinabangan din nila ang kawalan ng kakayahan ng Windows na makita at maiwasan ang mga nakakapinsalang aksyon na na-trigger ng naka-paste na code.
Ang iba't ibang mga chain ng pag-atake na naobserbahan ng mga mananaliksik ay nagpapahiwatig na ang TA571 ay aktibong naggalugad ng magkakaibang mga pamamaraan upang mapahusay ang pagiging epektibo at tumuklas ng mga karagdagang daanan para makahawa sa mas malaking bilang ng mga system. Binibigyang-diin ng adaptive na diskarte na ito ang pangako ng mga cybercriminal na baguhin ang kanilang mga taktika at palawakin ang kanilang epekto sa loob ng landscape ng cybersecurity.
