Μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού που ονομάζεται PHALTBLYX έχει εμφανιστεί, που συνδυάζει την εξαπάτηση της κοινωνικής μηχανικής με προηγμένες τεχνικές φοροδιαφυγής για να θέσει σε κίνδυνο τους οργανισμούς του κλάδου της φιλοξενίας.
Η αλυσίδα επιθέσεων ξεκινά με μηνύματα ηλεκτρονικού ψαρέματος που μιμούνται την Booking.com, με ειδοποιήσεις επείγουσας ακύρωσης κράτησης με μεγάλες οικονομικές χρεώσεις που εμφανίζονται σε ευρώ.
Αυτά τα μηνύματα κατευθύνουν τα θύματα σε ψεύτικους ιστότοπους της Booking.com που εμφανίζονται οπτικά πανομοιότυποι με τη νόμιμη υπηρεσία, εκμεταλλευόμενοι το άγχος των χρηστών για δόλιες συναλλαγές.
.webp.jpeg "Η νέα επίθεση ClickFix χρησιμοποιεί ψεύτικες οθόνες BSOD των Windows για να ξεγελάσει τους χρήστες στην εκτέλεση κακόβουλου κώδικα")
Η επίθεση εξελίσσεται μέσα από μια προσεκτικά ενορχηστρωμένη σειρά σταδίων που έχουν σχεδιαστεί για να παρακάμπτουν τους παραδοσιακούς ελέγχους ασφαλείας. Μόλις τα θύματα κάνουν κλικ στο κουμπί ανανέωσης στην ψεύτικη σελίδα, το πρόγραμμα περιήγησής τους εμφανίζει ένα κινούμενο σχέδιο θανάτου σε πλήρη οθόνη μπλε οθόνη.
Αυτό το προσομοιωμένο σφάλμα προτρέπει τους χρήστες να ακολουθήσουν οδηγίες στην οθόνη που περιλαμβάνουν το πάτημα συγκεκριμένων συνδυασμών πληκτρολογίου.
Αναλυτές της Securonix αναγνωρισθείς ότι το κακόβουλο λογισμικό αντιγράφει σιωπηλά μια εντολή PowerShell στο πρόχειρο, την οποία τα θύματα εκτελούν εν αγνοία τους όταν ακολουθούν τις εμφανιζόμενες οδηγίες.
.webp.jpeg "Η νέα επίθεση ClickFix χρησιμοποιεί ψεύτικες οθόνες BSOD των Windows για να ξεγελάσει τους χρήστες στην εκτέλεση κακόβουλου κώδικα")
Οι ερευνητές της Securonix σημείωσαν ότι αυτή η μέθοδος κοινωνικής μηχανικής επιδιόρθωσης κλικ αντιπροσωπεύει μια κρίσιμη εξέλιξη στον μηχανισμό παράδοσης της επίθεσης.
Η τεχνική βασίζεται στη μη αυτόματη εκτέλεση από τον χρήστη και όχι σε αυτοματοποιημένες διαδικασίες, παρακάμπτοντας αποτελεσματικά τους ελέγχους ασφαλείας που θα εμπόδιζαν την εκτέλεση σεναρίου.
Η κακόβουλη εντολή PowerShell εκτελεί πολλές λειτουργίες, συμπεριλαμβανομένου του ανοίγματος της νόμιμης σελίδας διαχειριστή της Booking.com ως απόσπαση της προσοχής κατά τη λήψη ενός αρχείου έργου MSBuild από απομακρυσμένους διακομιστές.
Μηχανισμός μόλυνσης
Ο μηχανισμός μόλυνσης αξιοποιεί τον νόμιμο μεταγλωττιστή MSBuild.exe της Microsoft για να εκτελέσει το ληφθέν αρχείο v.proj, μια τεχνική που είναι γνωστή ως live off the land.
Αυτή η προσέγγιση επιτρέπει στο κακόβουλο λογισμικό να εκτελεί μεσολάβηση μέσω αξιόπιστων βοηθητικών προγραμμάτων των Windows, συχνά παρακάμπτοντας τη λίστα επιτρεπόμενων εφαρμογών και τον εντοπισμό προστασίας από ιούς.
Μόλις εκτελεστεί, το κακόβουλο λογισμικό απενεργοποιεί το Windows Defender προσθέτοντας ευρείες εξαιρέσεις επέκτασης αρχείων και εξαιρέσεις συγκεκριμένων καταλόγων, διασφαλίζοντας ότι τα επόμενα ωφέλιμα φορτία παραμένουν μη ανιχνευμένα.
Το τελικό ωφέλιμο φορτίο είναι μια προσαρμοσμένη παραλλαγή του DCRat, ενός trojan απομακρυσμένης πρόσβασης ικανού να παραβιάσει εκτενώς το σύστημα. Το RAT δημιουργεί επιμονή χρησιμοποιώντας αρχεία συντομεύσεων Διαδικτύου που τοποθετούνται στον φάκελο εκκίνησης των Windows, μεταμφιεσμένα ως νόμιμα βοηθητικά προγράμματα συστήματος.
.webp.jpeg "Η νέα επίθεση ClickFix χρησιμοποιεί ψεύτικες οθόνες BSOD των Windows για να ξεγελάσει τους χρήστες στην εκτέλεση κακόβουλου κώδικα")
Μετά τη σύνδεση με διακομιστές εντολών και ελέγχου, το κακόβουλο λογισμικό συλλέγει εκτενείς πληροφορίες συστήματος, όπως αναγνώριση υλικού, λεπτομέρειες λειτουργικού συστήματος, εγκατεστημένο λογισμικό προστασίας από ιούς και ενεργούς τίτλους παραθύρων.
Οι δυνατότητες του κακόβουλου λογισμικού περιλαμβάνουν καταγραφή κλειδιών, εισαγωγή διεργασιών σε νόμιμα δυαδικά αρχεία συστήματος όπως το aspnetcompiler.exe και λήψη επιπλέον κακόβουλων ωφέλιμων φορτίων.
Η παρουσία τεχνουργημάτων κυριλλικής γλώσσας και ρωσικών συμβολοσειρών εντοπισμού σφαλμάτων υποδηλώνει έντονα ρωσόφωνους παράγοντες απειλών. Οι οργανισμοί θα πρέπει να εφαρμόζουν αυστηρή εκπαίδευση ευαισθητοποίησης των χρηστών σχετικά με τις τακτικές επιδιόρθωσης κλικ και να παρακολουθούν ύποπτες εκτελέσεις MSBuild.exe που προέρχονται από μη τυπικούς καταλόγους για τον εντοπισμό και την πρόληψη παρόμοιων επιθέσεων.
