Hamis Amazon biztonsági riasztás
A Cofense egy kifinomult ClickFix-alapú adathalász kampányt elemzett, amely hamis Amazon biztonsági riasztással indul, majd egy egyedi fejlesztésű távoli hozzáférési kártevő, a HarborWatch Agent telepítéséhez vezet. A támadók az áldozatot egy állítólagos fiókbiztonsági incidensről értesítő e-maillel veszik célba, amely sürgős beavatkozásra szólít fel.
A felhasználó egy hamis ellenőrző oldalra kerül, ahol egy ClickFix mechanizmus segítségével arra veszik rá, hogy a vágólapra automatikusan másolt PowerShell-parancsot a Windows Futtatás (Win+R) ablakába illessze és futtassa. A technika lényege, hogy a felhasználó saját maga indítja el a fertőzést, így a hagyományos böngésző- és e-mail-védelmi mechanizmusok jelentős része megkerülhető.
A végrehajtott parancs több lépcsőben tölti le és indítja el a HarborWatch Agent nevű egyedi RAT-ot. A malware elsődleges funkciója a folyamatos megfigyelés, rendszerinformációkat gyűjt, monitorozza a felhasználói aktivitást, képes fájlok feltöltésére és letöltésére, valamint távoli parancsok végrehajtására. A Cofense szerint a HarborWatch nem ismert bűnözői eszközkészlet része, hanem célzottan ehhez a kampányhoz fejlesztett implantátumnak tűnik.
A kutatás egyik fontos megállapítása, hogy a ClickFix technika mára az egyik legnépszerűbb kezdeti hozzáférési módszerré vált. A támadók egyre kevésbé támaszkodnak makrókra vagy letölthető futtatható állományokra, helyette a felhasználókat veszik rá arra, hogy saját maguk hajtsák végre a fertőzéshez szükséges parancsokat. A módszer különösen hatékony, mert a legtöbb felhasználó már hozzászokott a CAPTCHA-khoz, hitelesítési ellenőrzésekhez és technikai hibajavítási utasításokhoz.
A Cofense szerint a védekezés kulcsa annak tudatosítása, hogy semmilyen legitim szolgáltató – így az Amazon sem – kér PowerShell-, CMD- vagy Run-parancsok manuális futtatását egy biztonsági ellenőrzés részeként. Az ilyen jellegű utasítások minden esetben potenciális kompromittálási kísérletként kezelendők.
