В киберпространстве появляется новый метод социальной инженерии, основанный на использовании капчи ClickFix для доставки различных типов вредоносных программ. Среди них выделяются QakBot, инфокрады и программы-вымогатели. Данный метод предлагает злоумышленникам возможность обходить традиционные меры безопасности, опираясь на доверие пользователей к системам проверки.
Как работает ClickFix?
Злоумышленники используют капчу ClickFix для активации вредоносной команды. Этот процесс начинается с запуска с помощью комбинации клавиш Windows + R, что позволяет злоумышленникам извлекать текстовый файл с указанного URL-адреса. Процесс выполнения упрощается благодаря PowerShell с использованием команды Invoke-Expression (iex), что дает возможность выполнять код, содержащийся в загруженном текстовом файле.
Методы обхода и обфускации
Использование ClickFix включает в себя сложные методы обфускации:
- Использование XOR для расшифровки шестнадцатеричных строк
- Загрузка ZIP-файла с легитимного вида сайта, такого как duolingos.com
- Извлечение ZIP-файла выполняется с помощью сборки .NET
Эти технологии затрудняют обнаружение вредоносных действий и позволяют злоумышленникам сохранять видимость легитимности.
Сложности в обнаружении
Анализ на платформе VirusTotal показал лишь одно обнаружение из 96 у разных поставщиков, что свидетельствует о низкой вероятности выявления данного вредоносного кода. При этом попытки доступа к URL-адресу приводили к ошибке 404, что указывает на дополнительные стратегии обфускации.
Угроза для пользователей
Основной механизм ClickFix основан на использовании PHP-скрипта, который функционирует как прокси-сервер, динамически загружая вредоносную информацию. Это позволяет загружать и запускать QakBot и другие типы вредоносных программ, включая инфокрадов и программы-вымогатели.
Эффективность данной схемы обеспечивает доверие пользователей к капчам, обновлениям программного обеспечения и, казалось бы, надежным веб-сайтам. Это значительно увеличивает вероятность того, что пользователи невольно выполняют вредоносные команды.
Меры по нейтрализации угроз
В настоящее время проводятся усилия по деактивации связанных доменов с целью препятствования распространению вредоносного ПО. Однако важно продолжать информировать пользователей о рисках и недобросовестных методах социальной инженерии, чтобы минимизировать шансы на успешные атаки.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новый метод социальной инженерии: угроза капчи ClickFix".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
