Nov val kibernetskih napadov cilja na nič hudega sluteče uporabnike s prebrisano prikritimi sporočili o napakah v Google Chrome, Microsoft Word in OneDrive. Ti napadi, ki jih izvajajo različni napadalci, spodbujajo uporabnike, da zaženejo zlonamerne PowerShell skripte pod pretvezo odpravljanja težav, kar vodi do namestitve zlonamerne programske opreme. Ta članek raziskuje podrobnosti teh napadov, vpletene napadalce in kako se zaščititi pred takšnimi prevarami.
Najnovejša kampanja za distribucijo zlonamerne programske opreme izkorišča prefinjene taktike socialnega inženiringa, da uporabnike zavede v zagon škodljivih PowerShell skript. Te skripte, predstavljene kot popravki za lažne napake, vodijo do namestitve različnih vrst zlonamerne programske opreme.
Kampanja vključuje več napadalcev, med njimi ClearFake, znan po uporabi prekrivanj spletnih strani za spodbujanje lažnih posodobitev brskalnika, ter ClickFix, novo odkrito skupino napadalcev. Tudi TA571, distributer neželene pošte, povezan z obsežnimi e-poštnimi kampanjami, je vključen.
Ključni igralci v napadu
- ClearFake: Znani po uporabi prekrivanj spletnih strani, da spodbudijo lažne posodobitve brskalnika.
- ClickFix: Novoodkrita skupina napadalcev.
- TA571: Distributer neželene pošte, povezan z obsežnimi e-poštnimi kampanjami.
Prejšnji napadi ClearFake so se zanašali na lažne pozive za posodobitev brskalnika, medtem ko nove taktike vključujejo prekrivanja spletnih strani, ki prikazujejo lažna sporočila o napakah, uporabo JavaScript v HTML prilogah ter kompromitirane spletne strani, ki prikazujejo lažne napake v Google Chrome, Word in OneDrive.
Mehanizem napada sledi strukturiranemu postopku, kjer uporabniki vidijo lažno sporočilo o napaki, povezano z Google Chrome, Word ali OneDrive. Sporočilo jih spodbuja, da kopirajo PowerShell skripto za odpravo težave, nato pa jo prilepijo v PowerShell poziv, s čimer nevede sprožijo postopek namestitve zlonamerne programske opreme.
Mehanizem napada
Napadi sledijo precej standarnem postopku napada. Sledijo si nekako tako:
- Lažno sporočilo o napaki: Uporabniki vidijo lažno sporočilo o napaki, povezano z Google Chrome, Word ali OneDrive.
- Poziv za PowerShell skripto: Sporočilo uporabnike spodbuja, da kopirajo PowerShell skripto za odpravo težave.
- Izvajanje skripte: Uporabniki prilepijo skripto v PowerShell poziv, nevede sprožijo postopek namestitve zlonamerne programske opreme.
Podroben pregled verig napadov
V nadaljevanju si poglejmo za vse tri ključne igralce v napadu, kako potekajo in kakšen je njihov trigger.
ClearFake
Veriga napadov ClearFake se začne, ko uporabniki obiščejo kompromitirano spletno stran. Na tej strani se prikaže lažno opozorilo Google Chrome, ki je posledica skripte, gostovane na blockchain prek Binance’s Smart Chain pogodb. Uporabniki so nato pozvani, da namestijo “koreninski certifikat” z zagonom PowerShell skripte. Ta skripta preveri, ali je naprava veljavna tarča, in nato prenese dodatne zlonamerne obremenitve, s čimer se dokončno namesti zlonamerna programska oprema.
ClickFix
Veriga napadov ClickFix se začne s kompromitiranimi spletnimi stranmi, kjer iframe prekriva drugo lažno napako v Google Chrome. Uporabniki so pozvani, da prilepijo dano PowerShell kodo v Windows PowerShell (Admin). To vodi do enakih okužb kot pri napadu ClearFake, kjer se zlonamerna programska oprema prenese in namesti na napravo.
Okužba preko e-pošte
Veriga napadov okužbe preko e-pošte se začne s HTML prilogami v e-poštnih sporočilih, ki so videti kot Word dokumenti in spodbujajo uporabnike, da namestijo “Word Online” razširitev. Uporabniki nato prejmejo možnosti za odpravo težave, kar vključuje kopiranje base64-kodirane PowerShell skripte. Druga možnost, imenovana Auto-fix, uporablja search-ms protokol za prikaz oddaljene datoteke, kot sta “fix.msi” ali “fix.vbs”, kar vodi do namestitve zlonamerne programske opreme.
Pogoste obremenitve in njihovi vplivi
Obremenitve, ki so bile opažene v teh napadih, zajemajo več različnih vrst zlonamerne programske opreme:
- DarkGate: Zmogljiv Trojanec za dostop na daljavo, ki omogoča napadalcem popoln nadzor nad okuženo napravo.
- Matanbuchus: Nalagalnik zlonamerne programske opreme, ki služi za namestitev dodatnih zlonamernih komponent.
- NetSupport: Orodje za dostop na daljavo, ki omogoča napadalcem daljinski nadzor nad napravo žrtve.
- Amadey Loader: Še en nalagalnik zlonamerne programske opreme, ki je namenjen začetku in izvajanju zlonamernih procesov na okuženi napravi.
- XMRig: Zlonamerni program za rudarjenje kriptovalut, ki izkorišča računalniške vire žrtve za rudarjenje kriptovalut, kot je Monero.
- Clipboard Hijacker: Program, ki krade podatke iz odložišča uporabnika, kar vključuje kopiranje in vnašanje občutljivih podatkov, kot so gesla in druge informacije.
- Lumma Stealer: Zlonamerna programska oprema, specializirana za krajo informacij, ki lahko vključuje gesla, podatke za prijavo in druge osebne podatke.
Te obremenitve predstavljajo različne načine, kako zlonamerna programska oprema lahko ogrozi varnost in zasebnost uporabnikov ter organizacij, ki so tarče takih napadov.
Vloga socialnega inženiringa
Ti napadi se močno zanašajo na socialni inženiring, saj hkrati predstavijo lažne težave in rešitve. Ta taktika izkorišča zaupanje uporabnikov in nujnost hitrega odpravljanja zaznanih težav.
Analiza Proofpoint
Analitiki Proofpoint so opazili tri različne verige napadov. Opozarjajo na znatno interakcijo uporabnikov, potrebno za uspeh teh napadov, a tudi poudarjajo prefinjenost socialnega inženiringa.
Zaščitni ukrepi
Zaščita pred napadi, ki izkoriščajo ranljivosti preko sporočil o napakah, zahteva skrbno upoštevanje naslednjih smernic:
Ozaveščenost: Bodite pozorni na nepričakovana sporočila o napakah in se izogibajte klikanju na sumljive povezave ali odpiranju prilog brez preverjanja njihove pristnosti.
Preverjanje: Pred kakršnim koli ukrepom preverite pristnost sporočil o napakah preko uradnih kanalov ali neposrednega stika s ponudnikom storitve ali organizacijo.
Varnostna programska oprema: Zagotovite, da je vaša varnostna programska oprema redno posodobljena in omogoča zaznavanje ter blokiranje zlonamernih skript.
Omejitve PowerShell: Z namenom zmanjšanja tveganja omejite politiko izvajanja PowerShell skript na svojem sistemu.
Pogosta vprašanja
Kako lahko prepoznam lažno sporočilo o napaki?
- Poiščite nenavadne pozive, ki zahtevajo zagon skript ali namestitev posodobitev, in preverite preko uradnih virov.
Kaj naj storim, če naletim na sumljivo sporočilo o napaki?
- Izogibajte se sledenju navodilom in poiščite pomoč IT strokovnjakov ali se posvetujte z uradno podporo.
Ali me lahko protivirusna programska oprema zaščiti pred temi napadi?
- Da, posodobljena protivirusna programska oprema lahko zazna in blokira zlonamerne skripte.
Zakaj se ti napadi zanašajo na PowerShell?
- PowerShell je zmogljiv skriptni jezik, ki lahko izvaja številne administrativne naloge, zaradi česar je tarča za zlonamerno uporabo.
Kako lahko omejim izvajanje PowerShell skript na svojem sistemu?
- Spremenite politiko izvajanja, da omejite ali preprečite izvajanje skript.
Kaj naj storim, če sem že zagnal zlonamerno skripto?
- Izklopite internetno povezavo, zaženite celoten sistemski pregled z vašo protivirusno programsko opremo in poiščite strokovno pomoč.
Zaključek
V članku smo vam predstavili nekaj aktualnik varnostnih groženj. Za zaščito sebe in računalnika je v prvi vrsti pomembno pametno in odgovorno ravanje z napravami. Kljub temu pa vam priporočamo, da občasno v podjetju izvedete varnostno preverjanje. Več o tem pa na strani IT varnost