CrashFix
A Microsoft biztonsági blogján megjelent elemzés egy újabb ClickFix-stílusú kampányt ír le, amelyet a szakértők CrashFix néven azonosítottak. Ez a támadási technika a klasszikus pszichológiai megtévesztésrere épülő ClickFix módosulata, a rosszindulatú szereplők egy böngésző-kiegészítőt (NexShield) használva szándékosan összeomlasztják a böngészőt, majd egy ártalmatlanul hangzó üzenetben arra ösztönzik a felhasználót, hogy parancsot másoljon és futtasson a rendszeren a hiba javításához. Amikor az áldozat ezt megteszi, a parancs letölti és elindítja a malware-t.
Ebben az esetben a letöltött végső komponens egy Python-alapú RAT, a ModeloRAT. A kampány során a támadók egy hordozható Python környezetet (WinPython) is csomagolnak a payload mellé, hogy biztosítsák a RAT futását még akkor is, ha a célgépen nincs telepítve Python. A RAT rendszeres HTTP-kliens beaconokkal kommunikál a C2 szerver felé, és lehetővé teszi számukra, hogy parancsokat futtassanak, bent maradjanak a rendszeren és rendszerszintű hozzáférést építsenek ki.
A kampányban a támadók perszisztenciát is kialakítanak, például a Windows rendszerleíró adatbázisba írt Run kulccsal, így a RAT minden felhasználói bejelentkezéskor elindul. A technika különösen az vállalati vagy domainhez csatlakoztatott gépeket célozza, ahol a Python alapú backdoor-t használhatják további felderítésre, parancsvégrehajtásra és potenciálisan más malware-komponensek telepítésére is.
