ClickFix Malware
Chiến lược phân phối phần mềm độc hại gần đây sử dụng các thông báo lừa đảo giống như lỗi của Google Chrome, Microsoft Word và OneDrive. Những cảnh báo giả mạo này nhằm mục đích đánh lừa người dùng thực thi các 'bản sửa lỗi' PowerShell đe dọa, cuối cùng sẽ cài đặt phần mềm độc hại. Chiến dịch này đã được xác định và sử dụng bởi nhiều kẻ đe dọa khác nhau, bao gồm cả những kẻ liên quan đến ClearFake, một nhóm mới có tên ClickFix và kẻ đe dọa khét tiếng TA571. TA571 được biết đến với vai trò là kẻ phát tán thư rác, chịu trách nhiệm phát tán khối lượng lớn email thường dẫn đến lây nhiễm phần mềm độc hại và ransomware.
Trước đây, các cuộc tấn công ClearFake liên quan đến lớp phủ trang web lừa khách truy cập cài đặt phần mềm độc hại bằng cách giả mạo các bản cập nhật trình duyệt giả mạo.
Mục lục
Cảnh báo lỗi giả có thể mang lại mối đe dọa phần mềm độc hại
Trong các cuộc tấn công được báo cáo, các tác nhân đe dọa đã mở rộng phương pháp của họ để bao gồm JavaScript được nhúng trong tệp đính kèm HTML và các trang web bị xâm nhập. Các chiến thuật này hiện liên quan đến các lớp phủ mô phỏng các lỗi giả mạo từ Google Chrome, Microsoft Word và OneDrive. Những cảnh báo lừa đảo này khuyến khích khách truy cập nhấp vào nút để sao chép 'bản sửa lỗi' PowerShell vào khay nhớ tạm của họ, hướng dẫn họ dán và thực thi nó trong hộp thoại Chạy hoặc lời nhắc PowerShell.
Mặc dù chuỗi tấn công này dựa vào sự tương tác đáng kể của người dùng, nhưng kỹ thuật xã hội của nó đủ tinh vi để cung cấp cho người dùng đồng thời những gì có vẻ là một vấn đề thực sự và một giải pháp. Điều này có thể buộc người dùng phải hành động vội vàng mà không đánh giá đầy đủ các rủi ro liên quan. Các nhà nghiên cứu của Infosec đã xác định được một số tải trọng được sử dụng trong các cuộc tấn công này, bao gồm DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , một kẻ tấn công clipboard và Lumma Stealer .
Tập lệnh lừa đảo phát tán phần mềm độc hại vào thiết bị của người dùng
Các nhà phân tích đã xác định được ba chuỗi tấn công riêng biệt được phân biệt chủ yếu theo giai đoạn ban đầu, chỉ có chuỗi tấn công đầu tiên không được liên kết rõ ràng với TA571.
Trong kịch bản đầu tiên này, liên quan đến các tác nhân đe dọa được kết nối với ClearFake, người dùng truy cập các trang web bị xâm nhập tải các tập lệnh độc hại được lưu trữ trên blockchain thông qua hợp đồng Chuỗi thông minh của Binance. Các tập lệnh này tiến hành kiểm tra và kích hoạt cảnh báo Google Chrome giả mạo xác nhận sự cố khi hiển thị trang Web. Sau đó, hộp thoại sẽ nhắc khách truy cập cài đặt 'chứng chỉ gốc' bằng cách sao chép tập lệnh PowerShell vào Bảng nhớ tạm của Windows và thực thi tập lệnh đó trong bảng điều khiển Windows PowerShell (Quản trị viên).
Sau khi thực thi, tập lệnh PowerShell sẽ xác thực thiết bị đích. Nó tiến hành thực hiện các hành động như xóa bộ đệm DNS, xóa nội dung trong bảng tạm, hiển thị thông báo gây mất tập trung và tải xuống tập lệnh PowerShell từ xa. Đến lượt tập lệnh này sẽ tiến hành kiểm tra chống VM trước khi bắt đầu tải xuống tải trọng đánh cắp thông tin.
Email ClickFix và Lure được sử dụng làm chuỗi tấn công thay thế
Chuỗi tấn công thứ hai được liên kết với chiến dịch 'ClickFix', sử dụng việc chèn trang web vào các trang web bị xâm nhập để tạo lớp phủ iframe trình bày lỗi Google Chrome giả mạo. Người dùng được hướng dẫn mở 'Windows PowerShell (Quản trị viên)' và dán mã được cung cấp, dẫn đến tình trạng lây nhiễm tương tự như đã đề cập trước đó.
Một phương pháp lây nhiễm khác liên quan đến các cuộc tấn công dựa trên email bằng cách sử dụng các tệp đính kèm HTML giống như tài liệu Microsoft Word. Người dùng được nhắc cài đặt tiện ích mở rộng 'Word Online' để xem tài liệu một cách chính xác. Thông báo lỗi cung cấp các tùy chọn 'Cách khắc phục' và 'Tự động sửa'. Việc chọn 'Cách khắc phục' sẽ sao chép lệnh PowerShell được mã hóa base64 vào bảng nhớ tạm, hướng dẫn người dùng dán lệnh đó vào PowerShell. 'Tự động sửa lỗi' sử dụng giao thức tìm kiếm-ms để hiển thị tệp 'fix.msi' hoặc 'fix.vbs' được lưu trữ trên WebDAV từ chia sẻ tệp do kẻ tấn công kiểm soát từ xa. Trong những trường hợp này, các lệnh PowerShell tải xuống và thực thi tệp MSI hoặc tập lệnh VBS, dẫn đến lây nhiễm tương ứng bởi Matanbuchus hoặc DarkGate.
Trong suốt các cuộc tấn công này, các tác nhân đe dọa lợi dụng sự thiếu nhận thức của người dùng về những rủi ro liên quan đến việc thực thi các lệnh PowerShell trên hệ thống của họ. Họ cũng lợi dụng việc Windows không có khả năng phát hiện và ngăn chặn các hành động có hại do mã dán gây ra.
Các chuỗi tấn công đa dạng được các nhà nghiên cứu quan sát cho thấy TA571 đang tích cực khám phá các phương pháp khác nhau để nâng cao hiệu quả và khám phá các con đường bổ sung để lây nhiễm vào nhiều hệ thống hơn. Cách tiếp cận thích ứng này nhấn mạnh cam kết của tội phạm mạng trong việc phát triển chiến thuật và mở rộng ảnh hưởng của chúng trong bối cảnh an ninh mạng.
