ClickFix kampány 2. rész

Editors' Pick

2024 májusában egy új, ClickFix nevű social engineering taktika jelent meg, amely egy ClearFake klasztert tartalmaz, amelyet a Sekoia Threat Detection & Research (TDR) csapata szorosan figyelemmel kísért és elemzett egy privát jelentésben. Ez a taktika hamis hibaüzenetek megjelenítését jelenti a webböngészőkben, hogy megtévessze a felhasználókat egy adott rosszindulatú PowerShell kód másolásához és végrehajtásához, végül megfertőzve a rendszerüket.

A korábbi Clickfix kampány jelentés a ClickFix klasztert vázolta fel, amely hamis videokonferencia-oldalakat (például Google Meet vagy Zoom) használ fel az infostealer-ek terjesztésére. Egy nem sokkal később kiadott privát jelentés egy nagyobb klasztert elemez, amely ugyanerre a célra hamis CAPTCHA oldalakat használ. A Sekoia friss blogbejegyzése a különböző fertőzési láncokba mélyül el, és a fenyegetés-felderítés mellett a rendelkezésre álló adatforrásokon alapuló észlelési lehetőségeket is ismerteti.

Függetlenül a használt sablontól (Google Meet, Captcha stb.), a fertőzési folyamat egységes. A felhasználót egy sor lépésen keresztül vezetik, amelyek végül kompromittálják az áldozat eszközét. Az események sorrendje a következő:

  1. A felhasználó a weboldalról azt az utasítást kapja, hogy nyomja meg a „Windows + R” billentyűkombinációt, amely a Futtatás parancs párbeszédpanel megnyitására szolgál;
  2. Nyomja meg a „Ctrl + V” billentyűkombinációt a korábban a vágólapról JavaScript funkcióval másolt rosszindulatú parancs beillesztéséhez;
  3. Nyomja meg az „Enter” billentyűt a parancs, főként a PowerShell vagy az Mshta végrehajtásához, amelynek célja egy payload letöltése és futtatása.

A munkaállomás szempontjából a „Windows + R” parancsikon használata biztosítja, hogy a rosszindulatú parancsot végrehajtó folyamat az Explorer.exe mint szülőfolyamat alatt fut. Ezáltal a tevékenység legitimnek tűnik, és csökkenti az azonosítás kockázatát.

Forrás