ClickFix kampány 2. rész
2024 májusában egy új, ClickFix nevű social engineering taktika jelent meg, amely egy ClearFake klasztert tartalmaz, amelyet a Sekoia Threat Detection & Research (TDR) csapata szorosan figyelemmel kísért és elemzett egy privát jelentésben. Ez a taktika hamis hibaüzenetek megjelenítését jelenti a webböngészőkben, hogy megtévessze a felhasználókat egy adott rosszindulatú PowerShell kód másolásához és végrehajtásához, végül megfertőzve a rendszerüket.
A korábbi Clickfix kampány jelentés a ClickFix klasztert vázolta fel, amely hamis videokonferencia-oldalakat (például Google Meet vagy Zoom) használ fel az infostealer-ek terjesztésére. Egy nem sokkal később kiadott privát jelentés egy nagyobb klasztert elemez, amely ugyanerre a célra hamis CAPTCHA oldalakat használ. A Sekoia friss blogbejegyzése a különböző fertőzési láncokba mélyül el, és a fenyegetés-felderítés mellett a rendelkezésre álló adatforrásokon alapuló észlelési lehetőségeket is ismerteti.
Függetlenül a használt sablontól (Google Meet, Captcha stb.), a fertőzési folyamat egységes. A felhasználót egy sor lépésen keresztül vezetik, amelyek végül kompromittálják az áldozat eszközét. Az események sorrendje a következő:
- A felhasználó a weboldalról azt az utasítást kapja, hogy nyomja meg a „Windows + R” billentyűkombinációt, amely a Futtatás parancs párbeszédpanel megnyitására szolgál;
- Nyomja meg a „Ctrl + V” billentyűkombinációt a korábban a vágólapról JavaScript funkcióval másolt rosszindulatú parancs beillesztéséhez;
- Nyomja meg az „Enter” billentyűt a parancs, főként a PowerShell vagy az Mshta végrehajtásához, amelynek célja egy payload letöltése és futtatása.
A munkaállomás szempontjából a „Windows + R” parancsikon használata biztosítja, hogy a rosszindulatú parancsot végrehajtó folyamat az Explorer.exe mint szülőfolyamat alatt fut. Ezáltal a tevékenység legitimnek tűnik, és csökkenti az azonosítás kockázatát.