Yeni bir kötü amaçlı yazılım dağıtım kampanyası, kullanıcıları kötü amaçlı yazılım yükleyen kötü niyetli PowerShell "düzeltmeleri" çalıştırmak için kandırmak için sahte Google Chrome, Word ve OneDrive hataları kullanır.
Yeni kampanyanın, ClickFix adı verilen yeni bir saldırı kümesi olan ClearFake'in arkasındaki yeni tehdit aktörleri ve büyük hacimler gönderen bir spam distribütörü olarak çalıştığı, kötü amaçlı yazılım ve fidye yazılım enfeksiyonlarına yol açan bir spam distribütörü olarak bilinen TA571 tehdit oyuncusu tarafından kullanıldığı gözlendi. .
Önceki ClearFake saldırıları, ziyaretçileri kötü amaçlı yazılım yükleyen sahte bir tarayıcı güncellemesi yüklemeye teşvik eden web sitesi kaplamalarını kullanır.
Tehdit aktörleri ayrıca HTML eklerinde JavaScript'i kullanıyor ve yeni saldırılarda tehlikeye atılmış web siteleri. Ancak, şimdi kaplamalar sahte Google Chrome, Microsoft Word ve OneDrive hataları sergiliyor.
Bu hatalar, ziyaretçinin bir PowerShell "Düzeltme" ü panoya kopyalamak için bir düğmeyi tıklamasını ve ardından yapıştırıp çalıştırmayı çalıştırmasını ister: Dialog veya PowerShell İstemi.
"Saldırı zinciri başarılı olmak için önemli kullanıcı etkileşimi gerektirse de, sosyal mühendislik, birisine gerçek bir sorun ve çözüm gibi görünen birine sunacak kadar zekidir, bu da bir kullanıcıyı riski dikkate almadan harekete geçmesini isteyebilir" diye uyarır. Proofpoint'ten rapor.
Proofpoint tarafından görülen yükler arasında Darkgate, Matanbuchus, Netsupport, Amadey Loader, Xmrig, bir pano korsanı ve Lumma Stealer bulunmaktadır.
Proofpoint analistleri, esas olarak ilk aşamalarında farklılaşan üç saldırı zinciri gözlemledi, sadece birincisi TA571'e yüksek bir güvenle atfedilmedi.
Bu ilk durumda, ClearFake'in arkasındaki tehdit aktörleri ile ilişkili olarak, kullanıcılar Binance'ın akıllı zincir sözleşmeleri aracılığıyla blockchain'de barındırılan kötü amaçlı bir komut dosyasını yükleyen tehlikeye atılmış bir web sitesini ziyaret ediyorlar.
Bu komut dosyası bazı kontroller gerçekleştirir ve web sayfasını görüntüleyen bir sorunu belirten sahte bir Google Chrome uyarısı görüntüler. Diyalog daha sonra ziyaretçiyi Windows panosuna bir PowerShell komut dosyasını kopyalayıp bir Windows PowerShell (Admin) konsolunda çalıştırarak bir "kök sertifikası" yüklemesini ister.
PowerShell komut dosyası yürütüldüğünde, cihazın geçerli bir hedef olduğunu onaylamak için çeşitli adımlar gerçekleştirir ve ardından aşağıda belirtildiği gibi ek yükler indirecektir.
İkinci saldırı zinciri 'ClickFix' kampanyasıyla ilişkilidir ve başka bir sahte Google Chrome hatasını kaplamak için bir IFrame oluşturan güvenliği ihlal edilmiş web sitelerinde bir enjeksiyon kullanır.
Kullanıcılara "Windows PowerShell (Yönetici)" ni açmaları ve verilen kodu yapıştırmaları ve yukarıda belirtilen aynı enfeksiyonlara yol açmaları talimatı verilir.
Son olarak, Microsoft Word belgelerini andıran HTML ekleri kullanan e-posta tabanlı bir enfeksiyon zinciri, kullanıcıları belgeyi doğru görüntülemek için "Çevrimiçi Kelime" uzantısını yüklemelerini ister.
Hata mesajı, "Nasıl Düzeltilir" ve "Otomatik Karıştır" seçeneklerini, Base64 kodlu bir PowerShell komutunu panoya kopyalayarak kullanıcının Powershell'e yapıştırmasını öğreterek "nasıl düzeltilir" sunar.
Auto-Fix "Uzak Saldırgan tarafından kontrol edilen bir dosya paylaşımında WebDAV ile barındırılan bir" FIX.MSI "veya" FIX.VBS "dosyasını görüntülemek için Search-MS protokolünü kullanır.
Bu durumda, PowerShell sırasıyla bir MSI dosyasını veya VBS komut dosyasını indirir ve yürütür ve sırasıyla Matanbuchus veya Darkgate enfeksiyonlarına yol açar.
Her durumda, tehdit aktörleri hedeflerinin sistemlerinde PowerShell komutlarının yürütülmesi riskleri konusunda farkındalık eksikliğinden yararlanıyor.
Ayrıca, Windows'un yapıştırılmış kod tarafından başlatılan kötü niyetli eylemleri tespit edememesi ve engelleyememesinden de yararlanırlar.
Farklı saldırı zincirleri, TA571'in etkinliği artırmak ve daha fazla sayıda sistemi tehlikeye atmak için daha fazla enfeksiyon yolu bulmak için aktif olarak birden fazla yöntem denediğini göstermektedir.
Coralraider saldırıları, Info-Stealer kötü amaçlı yazılımları itmek için CDN önbelleği kullanır
Sahte hile, oyuncuları infostealer kötü amaçlı yazılımları yaymaya yemin eder
Yeni Linux kötü amaçlı yazılım, Discord'dan gönderilen emojilerle kontrol edilir
Warmcookie Windows Backdoor sahte iş teklifleri aracılığıyla itildi
Çinli bilgisayar korsanları dünya çapında 20.000 Fortigate Sistemini ihlal etti
Kaynak: Bleeping Computer