Μια νέα εκστρατεία διανομής κακόβουλου λογισμικού χρησιμοποιεί ψεύτικα σφάλματα του Google Chrome, του Word και του OneDrive για να εξαπατήσει τους χρήστες ώστε να εκτελέσουν κακόβουλες “διορθώσεις” της PowerShell που εγκαθιστούν κακόβουλο λογισμικό.
Η νέα εκστρατεία παρατηρήθηκε ότι χρησιμοποιείται από πολλούς φορείς απειλών, συμπεριλαμβανομένων εκείνων που βρίσκονται πίσω από το ClearFake, μια νέα ομάδα επιθέσεων με την ονομασία ClickFix και τον φορέα απειλών TA571, ο οποίος είναι γνωστός για τη λειτουργία του ως διανομέας spam που στέλνει μεγάλους όγκους email, οδηγώντας σε μολύνσεις από κακόβουλο λογισμικό και ransomware.
Οι προηγούμενες επιθέσεις ClearFake χρησιμοποιούν επικαλύψεις ιστότοπων που προτρέπουν τους επισκέπτες να εγκαταστήσουν μια ψεύτικη ενημέρωση του προγράμματος περιήγησης που εγκαθιστά κακόβουλο λογισμικό.
Στις νέες επιθέσεις οι φορείς απειλών χρησιμοποιούν επίσης JavaScript σε συνημμένα αρχεία HTML και σε παραβιασμένους ιστότοπους. Ωστόσο, τώρα οι επικαλύψεις εμφανίζουν ψεύτικα σφάλματα του Google Chrome, του Microsoft Word και του OneDrive.
Αυτά τα σφάλματα προτρέπουν τον επισκέπτη να κάνει κλικ σε ένα κουμπί για να αντιγράψει μια “διόρθωση” της PowerShell στο πρόχειρο και στη συνέχεια να την επικολλήσει και να την εκτελέσει σε ένα παράθυρο διαλόγου Run: ή σε μια προτροπή PowerShell.
“Παρόλο που η αλυσίδα επίθεσης απαιτεί σημαντική αλληλεπίδραση του χρήστη για να είναι επιτυχής, η κοινωνική μηχανική είναι αρκετά έξυπνη ώστε να παρουσιάζει σε κάποιον αυτό που μοιάζει με πραγματικό πρόβλημα και λύση ταυτόχρονα, γεγονός που μπορεί να ωθήσει τον χρήστη να αναλάβει δράση χωρίς να εξετάσει τον κίνδυνο”, προειδοποιεί μια νέα έκθεση της ProofPoint.
Τα ωφέλιμα φορτία που είδε η Proofpoint περιλαμβάνουν τα DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, ένα clipboard hijacker, και Lumma Stealer.
Οι αναλυτές της Proofpoint παρατήρησαν τρεις αλυσίδες επιθέσεων που διαφοροποιούνται κυρίως στα αρχικά τους στάδια, με μόνο την πρώτη να μην αποδίδεται με μεγάλη εμπιστοσύνη στο TA571.
Σε αυτή την πρώτη περίπτωση, που σχετίζεται με τους φορείς απειλής πίσω από το ClearFake, οι χρήστες επισκέπτονται έναν εκτεθειμένο ιστότοπο που φορτώνει ένα κακόβουλο σενάριο που φιλοξενείται στην αλυσίδα μπλοκ μέσω των συμβολαίων Smart Chain του Binance.
Αυτό το σενάριο εκτελεί ορισμένους ελέγχους και εμφανίζει μια ψεύτικη προειδοποίηση του Google Chrome που δηλώνει ότι υπάρχει πρόβλημα στην εμφάνιση της ιστοσελίδας. Στη συνέχεια, το παράθυρο διαλόγου ζητά από τον επισκέπτη να εγκαταστήσει ένα “πιστοποιητικό ” αντιγράφοντας ένα σενάριο PowerShell στο Πρόχειρο των Windows και εκτελώντας το σε μια κονσόλα Windows PowerShell (Admin).
Όταν εκτελεστεί η δέσμη ενεργειών PowerShell, θα εκτελέσει διάφορα βήματα για να επιβεβαιώσει ότι η συσκευή είναι έγκυρος στόχος και στη συνέχεια θα κατεβάσει πρόσθετα ωφέλιμα φορτία, όπως περιγράφεται παρακάτω.
Όταν εκτελεστεί η δέσμη ενεργειών PowerShell, θα εκτελέσει διάφορα βήματα για να επιβεβαιώσει ότι η συσκευή είναι έγκυρος στόχος και στη συνέχεια θα κατεβάσει πρόσθετα ωφέλιμα φορτία, όπως περιγράφεται παρακάτω.
- Εκκαθάριση της κρυφής μνήμης DNS.
- Αφαιρεί το περιεχόμενο του πρόχειρου.
- Εμφανίζει ένα μήνυμα παραπλάνησης.
- Πραγματοποιεί λήψη μιας άλλης απομακρυσμένης δέσμης ενεργειών PowerShell, η οποία εκτελεί ελέγχους anti-VM πριν από τη λήψη ενός info-stealer.
Η δεύτερη αλυσίδα επιθέσεων σχετίζεται με την εκστρατεία “ClickFix” και χρησιμοποιεί μια έγχυση σε παραβιασμένους ιστότοπους που δημιουργεί ένα iframe για να επικαλύψει ένα άλλο ψεύτικο σφάλμα του Google Chrome.
Οι χρήστες καλούνται να ανοίξουν το “Windows PowerShell (Admin)” και να επικολλήσουν τον παρεχόμενο κώδικα, οδηγώντας στις ίδιες μολύνσεις που αναφέρθηκαν παραπάνω.
Τέλος, μια αλυσίδα μολύνσεων μέσω ηλεκτρονικού ταχυδρομείου που χρησιμοποιεί συνημμένα αρχεία HTML που μοιάζουν με έγγραφα του Microsoft Word και προτρέπει τους χρήστες να εγκαταστήσουν την επέκταση “Word Online” για να προβάλουν σωστά το έγγραφο.
Το μήνυμα σφάλματος προσφέρει τις επιλογές “Πώς να διορθώσετε” και “Αυτόματη διόρθωση”, με την επιλογή “Πώς να διορθώσετε” να αντιγράφει μια κωδικοποιημένη με base64 εντολή PowerShell στο πρόχειρο, καθοδηγώντας τον χρήστη να την επικολλήσει στο PowerShell.
Το “Auto-fix” χρησιμοποιεί το πρωτόκολλο search-ms για να εμφανίσει ένα αρχείο “fix.msi” ή “fix.vbs” που φιλοξενείται μέσω WebDAV σε μια απομακρυσμένη ελεγχόμενη από τον επιτιθέμενο κοινή χρήση αρχείων.
Σε αυτή την περίπτωση, οι εντολές PowerShell κατεβάζουν και εκτελούν είτε ένα αρχείο MSI είτε ένα σενάριο VBS, οδηγώντας σε μολύνσεις Matanbuchus ή DarkGate, αντίστοιχα.
Σε όλες τις περιπτώσεις, οι φορείς απειλών εκμεταλλεύονται την έλλειψη ενημέρωσης των στόχων τους σχετικά με τους κινδύνους που ενέχει η εκτέλεση εντολών PowerShell στα συστήματά τους.
Εκμεταλλεύονται επίσης την αδυναμία των Windows να ανιχνεύσουν και να μπλοκάρουν τις κακόβουλες ενέργειες που ξεκινούν από τον επικολλημένο κώδικα.
Οι διαφορετικές αλυσίδες επιθέσεων δείχνουν ότι το TA571 πειραματίζεται ενεργά με πολλαπλές μεθόδους για να βελτιώσει την αποτελεσματικότητα και να βρει περισσότερες οδούς μόλυνσης για να θέσει σε κίνδυνο μεγαλύτερο αριθμό συστημάτων.