ClickFix Malware
Yeni bir kötü amaçlı yazılım dağıtım stratejisi, Google Chrome, Microsoft Word ve OneDrive hatalarına benzeyen yanıltıcı bildirimler kullanıyor. Bu sahte uyarılar, kullanıcıları, sonunda kötü amaçlı yazılım yükleyen tehditkar PowerShell 'düzeltmelerini' yürütmeye yönlendirmeyi amaçlamaktadır. Bu kampanya, ClearFake, ClickFix olarak bilinen yeni bir grup ve kötü şöhretli TA571 tehdit aktörü dahil olmak üzere çeşitli tehdit aktörleri tarafından tanımlanmış ve kullanılmıştır. TA571, genellikle kötü amaçlı yazılım ve fidye yazılımı bulaşmalarına yol açan büyük miktarda e-postanın yayılmasından sorumlu olan bir spam dağıtıcısı rolüyle tanınır.
Daha önce ClearFake saldırıları, sahte tarayıcı güncellemeleri gibi davranarak ziyaretçileri kötü amaçlı yazılım yüklemeye yönlendiren web sitesi yer paylaşımlarını içeriyordu.
İçindekiler
Sahte Hata Uyarıları Kötü Amaçlı Yazılım Tehditlerine Yol Açabilir
Bildirilen saldırılarda, tehdit aktörleri yöntemlerini HTML eklerine ve güvenliği ihlal edilmiş web sitelerine yerleştirilmiş JavaScript'i içerecek şekilde genişletti. Bu taktikler artık Google Chrome, Microsoft Word ve OneDrive'daki sahte hataları simüle eden katmanları içeriyor. Bu yanıltıcı uyarılar, ziyaretçileri bir PowerShell 'düzeltmesini' panolarına kopyalamak için bir düğmeye tıklamaya teşvik eder ve onlara bunu bir Çalıştır iletişim kutusuna veya PowerShell istemine yapıştırmaları ve yürütmeleri talimatını verir.
Bu saldırı zinciri önemli kullanıcı etkileşimine dayanırken, sosyal mühendisliği de kullanıcılara gerçek bir sorun ve çözüm gibi görünen şeyleri aynı anda sunacak kadar karmaşıktır. Bu durum, kullanıcıları ilgili riskleri tam olarak değerlendirmeden aceleci davranmaya zorlayabilir. Infosec araştırmacıları, bu saldırılarda DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , bir pano korsanı ve Lumma Stealer dahil olmak üzere çeşitli veri yüklerinin kullanıldığını tespit etti.
Sahte Komut Dosyaları Kullanıcıların Cihazlarına Kötü Amaçlı Yazılım Bırakıyor
Analistler, öncelikle başlangıç aşamalarına göre ayrılan üç farklı saldırı zinciri belirlediler; yalnızca ilki, TA571 ile kesin olarak bağlantılı değildi.
ClearFake'e bağlı tehdit aktörleriyle ilişkili bu ilk senaryoda, kullanıcılar, Binance'in Akıllı Zincir sözleşmeleri aracılığıyla blockchain üzerinde barındırılan kötü amaçlı komut dosyalarını yükleyen, güvenliği ihlal edilmiş web sitelerini ziyaret ediyor. Bu komut dosyaları kontroller gerçekleştirir ve Web sayfasının görüntülenmesiyle ilgili sorunlar olduğunu iddia eden sahte Google Chrome uyarılarını tetikler. İletişim kutusu daha sonra ziyaretçilerden bir PowerShell betiğini Windows Panosuna kopyalayıp bir Windows PowerShell (Yönetici) konsolunda çalıştırarak bir 'kök sertifika' yüklemelerini ister.
Yürütme sonrasında PowerShell betiği hedef cihazı doğrular. DNS önbelleğini temizlemek, pano içeriğini temizlemek, dikkat dağıtıcı bir mesaj görüntülemek ve uzak bir PowerShell betiğini indirmek gibi eylemleri gerçekleştirmeye devam eder. Bu komut dosyası, bilgi hırsızlığı yapan bir verinin indirilmesine başlamadan önce VM karşıtı kontroller gerçekleştirir.
Alternatif Saldırı Zincirleri Olarak Kullanılan ClickFix ve Lure E-postaları
İkinci saldırı zinciri, sahte bir Google Chrome hatası sunan bir iframe kaplaması oluşturmak için güvenliği ihlal edilmiş sitelere web sitesi enjeksiyonları kullanan 'ClickFix' kampanyasıyla bağlantılı. Kullanıcılar 'Windows PowerShell (Yönetici)'yi açmaya ve sağlanan kodu yapıştırmaya yönlendirilir, bu da daha önce bahsedilen aynı enfeksiyonlara neden olur.
Başka bir enfeksiyon yöntemi, Microsoft Word belgelerine benzeyen HTML eklerini kullanan e-posta tabanlı saldırıları içerir. Belgeyi doğru şekilde görüntülemek için kullanıcılardan 'Word Online' uzantısını yüklemeleri istenir. Hata mesajında 'Nasıl düzeltilir' ve 'Otomatik düzeltme' seçenekleri sunulur. 'Nasıl düzeltilir' seçildiğinde base64 kodlu bir PowerShell komutu panoya kopyalanır ve kullanıcılara bunu PowerShell'e yapıştırmaları talimatı verilir. 'Otomatik düzeltme', uzaktaki saldırgan tarafından kontrol edilen bir dosya paylaşımından WebDAV tarafından barındırılan 'fix.msi' veya 'fix.vbs' dosyasını görüntülemek için search-ms protokolünü kullanır. Bu durumlarda, PowerShell komutları bir MSI dosyasını veya bir VBS betiğini indirip çalıştırır ve bu da sırasıyla Matanbuchus veya DarkGate'in bulaşmasına yol açar.
Bu saldırılar sırasında tehdit aktörleri, kullanıcıların sistemlerinde PowerShell komutlarının yürütülmesiyle ilgili risklere ilişkin farkındalık eksikliğinden yararlanıyor. Ayrıca Windows'un yapıştırılan kod tarafından tetiklenen zararlı eylemleri tespit etme ve önleme konusundaki yetersizliğinden de yararlanırlar.
Araştırmacılar tarafından gözlemlenen çeşitli saldırı zincirleri, TA571'in etkinliği artırmak ve daha fazla sayıda sistemi etkilemek için ek yollar keşfetmek için aktif olarak çeşitli yöntemleri araştırdığını gösteriyor. Bu uyarlanabilir yaklaşım, siber suçluların taktiklerini geliştirme ve siber güvenlik ortamındaki etkilerini genişletme konusundaki kararlılığının altını çiziyor.
