Naujoje kenkėjiškų programų platinimo kampanijoje naudojamos netikros „Google Chrome“, „Word“ ir „OneDrive“ klaidos, siekiant apgauti vartotojus paleisti kenkėjiškas „PowerShell“ pataisas, kurios įdiegia kenkėjiškas programas.
Pastebėta, kad naująją kampaniją naudoja keli grėsmės veikėjai, įskaitant tuos, kurie yra už ClearFake, naujos atakų grupės, vadinamos ClickFix, ir TA571 grėsmių veikėją, žinomą kaip šlamšto platintojas, siunčiantis didelius el. laiškų kiekius, dėl kurių kyla kenkėjiškų programų ir išpirkos programų. .
Ankstesnėse „ClearFake“ atakose naudojamos svetainių perdangos, kurios ragina lankytojus įdiegti netikrą naršyklės naujinį, kuris įdiegia kenkėjiškas programas.
Grėsmių dalyviai naujose atakose taip pat naudoja „JavaScript“ HTML prieduose ir pažeistose svetainėse. Tačiau dabar perdangose rodomos netikros „Google Chrome“, „Microsoft Word“ ir „OneDrive“ klaidos.
Šios klaidos ragina lankytoją spustelėti mygtuką, kad nukopijuotumėte „PowerShell“ pataisą į mainų sritį, tada įklijuotų ir paleistumėte dialogo lange Vykdyti arba „PowerShell“ raginime.
„Nors atakų grandinė reikalauja didelės vartotojo sąveikos, kad būtų sėkminga, socialinė inžinerija yra pakankamai sumani, kad tuo pačiu metu pateiktų kam nors tai, kas atrodo kaip tikra problema, ir sprendimą, o tai gali paskatinti vartotoją imtis veiksmų neatsižvelgiant į riziką“, – įspėja naujas ataskaita iš ProofPoint.
„Proofpoint“ matomi naudingi kroviniai yra „DarkGate“, „Matanbuchus“, „NetSupport“, „Amadey Loader“, „XMRig“, iškarpinės užgrobėjas ir „Lumma Stealer“.
„PowerShell“ „taisymas“ veda prie kenkėjiškų programų
„Proofpoint“ analitikai pastebėjo tris atakų grandines, kurios daugiausia skiriasi pradinėse stadijose, o tik pirmoji nebuvo itin patikima TA571.
Šiuo pirmuoju atveju, susijusiu su grėsmės veikėjais už „ClearFake“, vartotojai apsilanko pažeistoje svetainėje, kuri įkelia kenkėjišką scenarijų, priglobtą „blockchain“ per „Binance“ išmaniosios grandinės sutartis.
Šis scenarijus atlieka tam tikrus patikrinimus ir pateikia netikrą „Google Chrome“ įspėjimą, nurodantį tinklalapio rodymo problemą. Dialogo lange lankytojas raginamas įdiegti „šakninį sertifikatą“, nukopijuojant PowerShell scenarijų į „Windows“ mainų sritį ir paleidžiant jį „Windows PowerShell“ (administratoriaus) konsolėje.
Kai PowerShell scenarijus bus vykdomas, jis atliks įvairius veiksmus, kad patvirtintų, jog įrenginys yra tinkamas taikinys, tada atsisiųs papildomus naudingus krovinius, kaip nurodyta toliau.
- Išplauna DNS talpyklą.
- Pašalina iškarpinės turinį.
- Rodo jauko pranešimą.
- Atsisiunčiamas kitas nuotolinis „PowerShell“ scenarijus, kuris prieš atsisiųsdamas informacijos vagystę atlieka anti-VM patikras.
Antroji atakų grandinė yra susijusi su „ClickFix“ kampanija ir naudoja injekciją pažeistose svetainėse, kuri sukuria „iframe“, kad perdengtų kitą netikrą „Google Chrome“ klaidą.
Vartotojams nurodoma atidaryti „Windows PowerShell (administratorius)“ ir įklijuoti pateiktą kodą, sukeldami tas pačias aukščiau paminėtas infekcijas.
Galiausiai, el. paštu pagrįsta infekcijos grandinė, naudojanti HTML priedus, primenančius „Microsoft Word“ dokumentus, ragina vartotojus įdiegti „Word Online“ plėtinį, kad dokumentas būtų peržiūrėtas teisingai.
Klaidos pranešime pateikiamos parinktys „Kaip pataisyti“ ir „Automatinis taisymas“, o „Kaip pataisyti“ nukopijuokite „Base64“ koduotą „PowerShell“ komandą į mainų sritį, nurodydami vartotojui įklijuoti ją į „PowerShell“.
Automatinis taisymas“ naudoja paieškos-ms protokolą, kad būtų rodomas „WebDAV“ priglobtas „fix.msi“ arba „fix.vbs“ failas nuotolinio užpuoliko valdomoje failų dalyje.
Tokiu atveju „PowerShell“ komandos atsisiunčia ir vykdo MSI failą arba VBS scenarijų, atitinkamai sukeldamos Matanbuchus arba DarkGate infekcijas.
Visais atvejais grėsmės veikėjai išnaudoja savo taikinių nesuvokimą apie riziką, susijusią su PowerShell komandų vykdymu jų sistemose.
Jie taip pat naudojasi „Windows“ nesugebėjimu aptikti ir blokuoti kenkėjiškų veiksmų, kuriuos inicijuoja įklijuotas kodas.
Įvairios atakų grandinės rodo, kad TA571 aktyviai eksperimentuoja su keliais metodais, kad pagerintų efektyvumą ir surastų daugiau infekcijos būdų, kad pakenktų didesniam skaičiui sistemų.