Clickfix kampányok
2024 májusában egy új, ClickFix nevű social engineering taktika jelent meg, amely egy ClearFake klasztert tartalmaz, amelyet a Sekoia Threat Detection & Research (TDR) csapata szorosan figyelemmel kísért és elemzett egy privát jelentésben, amelynek címe FLINT 2024-027 – New widespread ClearFake variant abuses PowerShell and clipboard. Ez a taktika a webböngészőkben hamis hibaüzenetek megjelenítését jelenti, hogy megtévessze a felhasználókat egy adott rosszindulatú PowerShell kód másolásával és végrehajtásával, végül megfertőzve a rendszerüket.
A Proofpoint kutatói, akik ezt a taktikát ClickFixnek nevezték el, arról számoltak be, hogy a TA571 eredeti hozzáférés-közvetítő 2024 márciusa óta kihasználta ezt a taktikát az e-mailes adathalászkampányokban. Ezek a kampányok elsősorban Word-dokumentumnak álcázott HTML-fájlokat használtak, amelyek egy hamis hibaablakot jelenítettek meg, amely arra szólította fel a felhasználókat, hogy egy PowerShell-szkript segítségével telepítsenek olyan kártevőket, mint a Matanbuchus, a DarkGate vagy a NetSupport RAT.
Az elmúlt hónapokban több rosszindulatú kártevő terjesztési kampány használta ki a ClickFix csalit Windows és macOS infostealerek, botnetek és távoli hozzáférési eszközök terjesztésére. Ez összhangban van azzal a növekvő, folyamatos trenddel, hogy a rosszindulatú szoftvereket drive-by download technikával terjesztik. A Sekoia elemzői úgy értékelik, hogy a közelmúltban több intrusion set is alkalmazta ezt a taktikát, feltehetően a vírusirtó szoftverek szkennelésének és a böngészők biztonsági funkcióinak kijátszása érdekében, a támadók fertőzési arányának növelését célozva.
A Sekoia blogbejegyzésében időrendi áttekintést nyújt a ClickFix megfigyelt kampányairól. Továbbá technikai részleteket osztanak meg egy ClickFix klaszterről, amely hamis Google Meet videokonferencia-oldalakat használ az infostealerek terjesztésére, mind a Windows, mind a macOS rendszereket megcélozva. A Sekoia elemzői összefüggésbe ezt a Google Meet-et megszemélyesítő klasztert két kiberbűnözői csoporttal: Slavic Nation Empire (SNE) és Scamquerteo. Ezek a csoportok a „Marko Polo” és a „CryptoLove” alcsoportjai.
