Категория: Киберсигурност

Екипът за киберсигурност на Microsoft публикува задълбочен доклад за ClickFix, нападение базирано на социален инженеринг, което подлъгва потребителите да изпълняват злонамерени команди под прикритието на тест за доказване на човечността си.

ClickFix се преструва, че е стандартно предизвикателство тип CAPTCHA. Но, вместо да щраквате върху квадрати с мотоциклети вътре, да плъзгате парченце от пъзел на мястото му или да въртите все по-странни обекти до определени ориентации, той изисква от потребителите да направят нещо… друго.

Фалшивият CAPTCHA тест им казва да натиснат клавиша Windows/Super и R, след което Control и V, последвани от Enter – комбинация, която, всеки читател, използвал компютър повече от седмица, вероятно ще разпознае, отваря диалоговия прозорец „Run“ на Windows, поставя командите, които злонамереният софтуер е вмъкнал в буфера за клипборд, и ги изпълнява. Представете си как потребителите се усмихват на себе си, докато го правят, мислейки колко полезни са, докато престъпниците се наслаждават на незаконен достъп.

„През изминалата година“, пише екипът на Microsoft за своите открития, експерти от Microsoft Threat Intelligence и Microsoft Defender наблюдаваха растежа на техниката за социално инженерство ClickFix, като кампании, насочени към хиляди корпоративни и потребителски устройства глобално всеки ден.“

Мошениците най-вече използваха техниката ClickFix по време на последната кампания за фишинг срещу потребителите на Booking.com. Атакуващите изпратиха злонамерени имейли до собственици на хотели и къщи за гости с твърдения за негативни отзиви или въпроси от клиенти, но когато жертвите кликваха, бяха пренасочвани към сайт, контролиран от нападателя, който имаше фалшив CAPTCHA тест.

Тъй, като ClickFix разчита на човешка намеса за изпълнение на злонамерените команди, отбелязват изследователите на Microsoft, „кампания, използваща тази техника, може да премине през конвенционалните и автоматизирани решения за сигурност.“

Що се отнася до това, което прави ClickFix, това изцяло зависи от атакуващия. Изследването на Microsoft установи, че най-често срещаният зловреден товар за изтегляне е Lumma Stealer, софтуер за кражба на информация, който е обвиняван за десетки милиони долари щети годишно от измами с кредитни карти и който, както се предполага, е бил обект на международна операция през май, макар да изглежда, че тя само е забавила, а не е спряла хората зад него.

Други потвърдени злонамерени програми, които обикновено не записват файл на диска, а работят в паметта, включват отдалечените троянци Xworm, AsyncRAT, NetSupport и SectopRAT, зареждачи на файлове като Latrodectus и MintsLoader, както и rootkits, базирани на проекта с отворен код r77.

Като част от своя доклад, екипът на Microsoft посочи атака срещу португалски държавни, финансови и транспортни организации, която използва ClickFix за разпространение на крадеца на данни Lampion. В тази атака, фишинг имейли довеждали жертвите до страница, която използва ClickFix за изтегляне на скрит VBScript файл, който от своя страна изтегля друг VBScript файл, който на свой ред изтегля още един VBScript файл, отговорен за преминаване през проверката на антивирусните и други мерки за сигурност, преди да създаде .cmd файл за доставяне на финалния злонамерен товар след насрочен рестарт на компютъра.

Това е много хитро, с изключение на една подробност. „По време на нашето разследване“, отбелязва екипът, „истинският зловреден софтуер Lampion не беше доставен, защото командата за изтегляне беше коментирана в кода.“

Репортажът на Microsoft също така дава подробности за други вариации на ClickFix, които не имитират CAPTCHA, въпреки че платформите за доказване на човещина като Google reCAPTCHA и Turnstile на Cloudflare остават предпочитан избор за маскиране. Някои от най-ранните записани случаи имитират страницата за съобщение за срив „Ау, Snap!“ в браузъра Chrome на Google; други използват собствената грешка на Microsoft за липсващо разширение в Word Online. Още повече примери бяха открити, които се преструват на начални страници на Discord, част от промени, които изследователите предполагат са опит да „разширят обхвата си на потенциални цели.“

Изследователите също откриха вариация на ClickFix, която се отказва от Windows в полза на съперника macOS. „Интересно,“ казват учените, „стъпките, които примамката показва дори за потребителите на macOS, са за устройства с Windows,“ въпреки че действителната команда е bash скрипт, който улавя данните за вход на потребителя, изтегля зловреден товар, деактивира функцията за карантина на macOS и накрая пуска зловредния софтуер.

Що се отнася до това как потребителите могат да се защитят, съветът на Microsoft е предимно основан на самообразоване, заедно с използването на филтриране на имейли, за да се намали броят на фишинг опитите, които достигат до пощенските кутии на потребителите. От доклада на компанията също така се съветват потребителите да „блокират уеб страници от автоматично стартиране на [Adobe] Flash плъгини“, което е неочакван съвет, даващ се в неподходящ момент, като се има предвид, че Adobe прекрати разработката на Flash Player преди повече от четири години.

Microsoft също така препоръчва използването на PowerShell скриптови блокировки за регистриране и политики за изпълнение, активиране на опционални предупреждения в Windows Terminal, които се появяват при поставяне на няколко реда, включване на политики за контрол на приложенията, които предотвратяват изпълнението на нативни бинарни файлове чрез командата Run, и дори разгръщане на групова политика за премахване на командата Run изцяло от менюто Старт. Докладът включва също така подбор от индикатори за компрометиране, за тези, които желаят да ги включат във своите системи за сканиране за сигурност.