ClickFix напад користи лажен екран за Windows Update за ширење малициозен софтвер

Забележани се варијанти на ClickFix нападот каде што напаѓачите ги измамуваат корисниците со реалистична анимација на Windows Update прикажана на цел екран во интернет прелистувач, при што злонамерниот код е сокриен во слики.

ClickFix е напад базиран на социјален инженеринг при кој корисниците се убедуваат да вметнат и извршат код или команди во Windows Command Prompt, што доведува до извршување малициозен софтвер на системот.

Овој напад е широко прифатен од сајбер криминалци од сите нивоа поради неговата висока ефикасност и постојано се развива, со сè понапредни и поизмамувачки мамки.

Полноекранска страница во прелистувач

Од 1 октомври, истражувачите забележале ClickFix напади каде што изговорот за извршување опасни команди бил завршување на инсталација на критично безбедносно ажурирање за Windows, како и почестата мамка „проверка дека сте човек“ (human verification) [1, 2].

Лажната страница за ажурирање ги упатува жртвите да притиснат одредени копчиња во конкретен редослед, со што се вметнуваат и извршуваат команди од напаѓачот кои претходно автоматски биле копирани во clipboard-от преку JavaScript што се извршува на страницата.

Извештај од провајдерот на управувани безбедносни услуги Huntress наведува дека новите ClickFix варијанти ги испуштаат инфостилерите LummaC2 и Rhadamanthys.

Во една варијанта, хакерите користат страница за „проверка дека сте човек“, додека во друга се потпираат на лажен екран за Windows Update.

Во двата случаи, напаѓачите користеле стеганографија за да го вметнат финалниот малициозен payload во слика.

„Наместо едноставно да додаваат злонамерни податоци во фајл, малициозниот код е директно кодиран во пикселните податоци на PNG сликите, при што се користат специфични канали за боја за реконструкција и дешифрирање на payload-от во меморија“, објаснуваат истражувачите од Huntress.

Испораката на финалниот payload започнува со користење на mshta, вградена Windows бинарна датотека, за извршување злонамерен JavaScript код.

Целиот процес вклучува повеќе фази кои користат PowerShell код и .NET assembly (Stego Loader), кој е одговорен за реконструкција на финалниот payload вграден во PNG фајл во енкриптирана состојба.

Во manifest ресурсите на Stego Loader се наоѓа AES-енкриптиран блок кој всушност претставува стеганографска PNG слика што содржи shellcode, реконструиран преку прилагоден C# код.

Истражувачите од Huntress забележале дека напаѓачот користел динамична техника за избегнување детекција, позната како ctrampoline, при што почетната функција започнувала да повикува 10.000 празни функции.

Shellcode-от што ги содржи примероците од инфостилерот се извлекува од енкриптираната слика и е спакуван со алатката Donut, која овозможува извршување на VBScript, JScript, EXE, DLL фајлови и .NET assemblies директно во меморија.

По распакувањето, истражувачите од Huntress успеале да го извлечат малициозниот софтвер, кој во анализираните напади бил LummaC2 и Rhadamanthys.

Дијаграмот подолу служи како визуелна претстава за тоа како функционира целиот напад:

Варијантата на Rhadamanthys што ја користела мамката со Windows Update првпат била забележана од истражувачите уште во октомври, пред операцијата Operation Endgame да собори делови од нејзината инфраструктура на 13 ноември.

Huntress известува дека оваа полициска операција резултирала со тоа што payload-от повеќе не се испорачува преку лажните Windows Update домени, кои сè уште се активни.

За да се заштитат од ваков тип на ClickFix напади, истражувачите препорачуваат да се оневозможи Windows Run полето и да се следат сомнителни синџири на процеси, како што се explorer.exe кој стартува mshta.exe или PowerShell.

Дополнително, при истрага на сајбер безбедносен инцидент, аналитичарите можат да го проверат регистарскиот клуч RunMRU за да утврдат дали корисникот внесувал команди во Windows Run полето.

Извори:

• Bleeping Computer – ClickFix attack uses fake Windows Update screen to push malware Bleeping Computer