Szteganográfia ClickFix támadásokban
A Huntress kutatói olyan ClickFix támadási változatokat azonosítottak, amelyekben a kiberszereplők szteganográfiát használtak a végső rosszindulatú programok fázisainak egy képben való elrejtésére. Ahelyett, hogy egyszerűen rosszindulatú adatokat fűztek volna egy fájlhoz, a rosszindulatú kódot közvetlenül a PNG-képek pixeladatai közé rejtették, és meghatározott színcsatornákat használtak a memória tartalmának rekonstruálására és visszafejtésére, ami többek között a LummaC2 és a Rhadamanthys szállításához vezetett.
A Huntress kutatói kezdetben azt figyelték meg, hogy ez a tevékenység a szokásos „emberi ellenőrzés” vagy robotellenőrzés csalikból származik, a legújabb kampányokban viszont egy nagyon meggyőző hamis Windows Update képernyőt használnak. Ez az újabb változat teljes képernyőn utánozza a kék Windows Update kezdőlapot, és valósághű „Frissítések feldolgozása” animációkat jelenít meg, amelyek végül arra késztetik a felhasználót, hogy kövesse a szokásos ClickFix mintát: nyissa meg a Futtatás parancsot (Win+R), majd illessze be és futtassa a rosszindulatú parancsot.
A Huntress a vizsgálat során a ClickFix csali két különböző változatát figyelte meg: egy szabványos „Robot Verification” és egy újabb, meggyőzőbb „Windows Update” oldalt. A kampány mindkét esetben egy mshta.exe paranccsal kezdődik, amely egy IP-címet tartalmazó URL-t tartalmaz, ahol a második oktett mindig hexadecimális kódolású. Ez végül a .NET szteganográfiai betöltő telepítéséhez vezet, amely kivonja a PNG-képek pixeladatai között elrejtett Donut-csomagolt shellcode-ot.
A szteganográfia használata segít ezeknek a hasznos terheknek elkerülni a szignatúra-alapú észlelést és bonyolítja az elemzést, a támadások egy egyszerű szállítási mechanizmusra támaszkodnak: az áldozat manuálisan megnyitja a Windows Run-t, hogy beillesszen egy rosszindulatú parancsot. Ennek megakadályozása érdekében a szervezeteknek gondoskodniuk kell arról, hogy a felhasználók képzésben részesüljenek, hogy felismerjék a ClickFix támadásokat.
A ClickFix elleni leghatékonyabb védekezés a “Windows Run” letiltása registry módosítással.
