ClickFix Malware
Недавня стратегія розповсюдження зловмисного програмного забезпечення використовує оманливі сповіщення, схожі на помилки Google Chrome, Microsoft Word і OneDrive. Ці фальшиві сповіщення мають на меті змусити користувачів ввести в оману загрозливі «виправлення» PowerShell, які зрештою встановлюють зловмисне програмне забезпечення. Цю кампанію було виявлено та використано різними загрозливими суб’єктами, зокрема пов’язаними з ClearFake, новою групою, відомою як ClickFix, і сумнозвісним загрозливим актором TA571. TA571 відомий своєю роллю розповсюджувача спаму, відповідального за розповсюдження великих обсягів електронних листів, які часто призводять до зараження шкідливим програмним забезпеченням і програмами-вимагачами.
Раніше атаки ClearFake включали накладання веб-сайтів, які обманом спонукали відвідувачів встановити зловмисне програмне забезпечення, видаючи підроблені оновлення веб-переглядача.
Зміст
Фальшиві сповіщення про помилки можуть створювати загрози зловмисного програмного забезпечення
У повідомлених атаках зловмисники розширили свої методи, включивши JavaScript, вбудований у вкладення HTML, і скомпрометовані веб-сайти. Ця тактика тепер передбачає накладення, які імітують підроблені помилки з Google Chrome, Microsoft Word і OneDrive. Ці оманливі сповіщення спонукають відвідувачів натиснути кнопку, щоб скопіювати «виправлення» PowerShell у буфер обміну, вказуючи їм вставити та виконати його в діалоговому вікні «Виконати» або в підказці PowerShell.
Хоча цей ланцюжок атак покладається на значну взаємодію з користувачем, його соціальна інженерія достатньо складна, щоб представити користувачам те, що здається справжньою проблемою та рішенням одночасно. Це може змусити користувачів діяти поспішно без повної оцінки пов’язаних ризиків. Дослідники Infosec ідентифікували кілька корисних навантажень, які використовуються в цих атаках, зокрема DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , викрадач буфера обміну та Lumma Stealer .
Шахрайські сценарії перекидають зловмисне програмне забезпечення на пристрої користувачів
Аналітики визначили три різні ланцюги атак, які в основному відрізняються початковими етапами, причому лише перший остаточно не пов’язаний з TA571.
У цьому першому сценарії, пов’язаному зі загрозливими суб’єктами, пов’язаними з ClearFake, користувачі відвідують скомпрометовані веб-сайти, які завантажують шкідливі сценарії, розміщені в блокчейні через контракти Binance Smart Chain. Ці сценарії проводять перевірки та запускають фальшиві сповіщення Google Chrome про проблеми з відображенням веб-сторінки. Потім у діалоговому вікні відвідувачам пропонується встановити «кореневий сертифікат», скопіювавши сценарій PowerShell у буфер обміну Windows і виконавши його в консолі Windows PowerShell (Admin).
Після виконання сценарій PowerShell перевіряє цільовий пристрій. Він виконує такі дії, як очищення кешу DNS, очищення вмісту буфера обміну, відображення відволікаючого повідомлення та завантаження віддаленого сценарію PowerShell. Цей сценарій, у свою чергу, проводить перевірку захисту від віртуальної машини перед початком завантаження корисного навантаження, що викрадає інформацію.
Електронні листи ClickFix і Lure використовуються як альтернативні ланцюги атак
Другий ланцюжок атак пов’язаний із кампанією «ClickFix», яка використовує ін’єкції веб-сайтів на скомпрометованих сайтах для створення накладення iframe із фальшивою помилкою Google Chrome. Користувачам пропонується відкрити «Windows PowerShell (Admin)» і вставити наданий код, що призведе до тих самих заражень, про які згадувалося раніше.
Інший метод зараження включає атаки на електронну пошту з використанням вкладень HTML, що нагадують документи Microsoft Word. Користувачам пропонується встановити розширення «Word Online», щоб правильно переглядати документ. Повідомлення про помилку містить параметри «Як виправити» та «Автовиправлення». Вибір «Як виправити» копіює команду PowerShell у кодуванні base64 у буфер обміну, вказуючи користувачам вставити її в PowerShell. «Автовиправлення» використовує протокол search-ms для відображення файлу «fix.msi» або «fix.vbs», розміщеного в WebDAV, із спільного файлу, яким керує віддалений зловмисник. У цих випадках команди PowerShell завантажують і виконують або файл MSI, або сценарій VBS, що призводить до зараження Matanbuchus або DarkGate відповідно.
Під час цих атак зловмисники використовують недостатню обізнаність користувачів щодо ризиків, пов’язаних із виконанням команд PowerShell у їхніх системах. Вони також використовують нездатність Windows виявляти та запобігати шкідливим діям, викликаним вставленим кодом.
Різноманітні ланцюжки атак, які спостерігали дослідники, вказують на те, що TA571 активно вивчає різні методи підвищення ефективності та виявлення додаткових шляхів зараження більшої кількості систем. Цей адаптивний підхід підкреслює прагнення кіберзлочинців розвивати свою тактику та розширювати свій вплив у сфері кібербезпеки.
