Το νέο μήνυμα ClickFix «Word Online» παραπλανά τους χρήστες να εγκαταστήσουν κακόβουλο λογισμικό DarkGate

Μια εξελιγμένη καμπάνια κοινωνικής μηχανικής με την ονομασία «ClickFix» έχει εμφανιστεί, η οποία στοχεύει χρήστες με παραπλανητικά μηνύματα σφάλματος «Word Online» για τη διανομή του τρομερού κακόβουλου λογισμικού DarkGate.

Σε αντίθεση με τις παραδοσιακές λήψεις μέσω Drive-by, αυτή η επίθεση βασίζεται στον χειρισμό των χρηστών ώστε να εκτελούν με μη αυτόματο τρόπο κακόβουλες εντολές, εκμεταλλευόμενη την εμπιστοσύνη τους σε γνωστές διαδικασίες αντιμετώπισης προβλημάτων.

Η καμπάνια μιμείται συγκεκριμένα ένα σφάλμα επέκτασης προγράμματος περιήγησης που λείπει, προτρέποντας τα θύματα να κάνουν κλικ σε ένα κουμπί “Τρόπος επιδιόρθωσης” για να επιλύσουν το υποτιθέμενο πρόβλημα.

Η επίθεση ξεκινά όταν ένας χρήστης επισκέπτεται μια παραβιασμένη ή κακόβουλη ιστοσελίδα που εμφανίζει την ψεύτικη ειδοποίηση.

Η προτροπή καθοδηγεί το θύμα να ανοίξει ένα τερματικό PowerShell και να επικολλήσει μια εντολή “fix”. Εν αγνοία του χρήστη, κάνοντας κλικ στο κουμπί “Τρόπος επιδιόρθωσης” ενεργοποιείται μια λειτουργία JavaScript που αντιγράφει ένα κακόβουλο σενάριο PowerShell απευθείας στο πρόχειρό του.

Αυτή η τεχνική παρακάμπτει έξυπνα τους παραδοσιακούς ελέγχους ασφαλείας που βασίζονται σε πρόγραμμα περιήγησης, αξιοποιώντας τις ενέργειες του ίδιου του χρήστη για την εκκίνηση της αλυσίδας μόλυνσης.

Αναλυτές της Point Wild αναγνωρισθείς αυτή την εκστρατεία και σημείωσε ότι η εξάρτηση από την αλληλεπίδραση των χρηστών αποφεύγει αποτελεσματικά πολλά αυτοματοποιημένα συστήματα ανίχνευσης.

Μόλις το θύμα επικολλήσει και εκτελέσει την εντολή, το σενάριο PowerShell ανακτά ένα κακόβουλο αρχείο HTA από έναν απομακρυσμένο διακομιστή.

Αυτό το αρχείο χρησιμεύει ως βάση για το τελικό ωφέλιμο φορτίο, καθιερώνοντας την επιμονή και προετοιμάζοντας το σύστημα για την ανάπτυξη του DarkGate, ενός ισχυρού trojan απομακρυσμένης πρόσβασης ικανού να παραβιάσει πλήρως το σύστημα.

Τεχνική Ανάλυση της Αλυσίδας Λοιμώξεων

Η τεχνική εκτέλεση αυτής της επίθεσης περιλαμβάνει πολλαπλά επίπεδα συσκότισης.

Η αρχική ιστοσελίδα περιέχει περιεχόμενο με κωδικοποίηση base64 που υποβάλλεται σε επεξεργασία χρησιμοποιώντας μια αντίστροφη συνάρτηση για την απόκρυψη της πραγματικής πρόθεσής της, όπως φαίνεται σε αυτό το σχήμα Τα δεδομένα που κωδικοποιούνται από το Base64 είναι ενσωματωμένα στη δομή HTML.

Όταν αποκωδικοποιείται, το ωφέλιμο φορτίο περιέχει μια εντολή PowerShell που ξεπλένει το DNS και κατεβάζει το επόμενο στάδιο.

iex([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($base64)));

Αυτή η εντολή ανακτά το dark.hta από έναν παραβιασμένο τομέα. Κατά την εκτέλεση, το αρχείο HTA δημιουργεί έναν κατάλογο στη μονάδα δίσκου C: και αφήνει ένα εκτελέσιμο αρχείο AutoIt και ένα σενάριο με το όνομα fckhffh.a3x.

Αυτό το σενάριο χρησιμοποιεί τον αλγόριθμο DES για την αποκρυπτογράφηση του τελικού ωφέλιμου φορτίου DarkGate. Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί επικοινωνία με διακομιστές εντολών και ελέγχου, ολοκληρώνοντας τον συμβιβασμό και παραχωρώντας στους εισβολείς μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση στο μηχάνημα-θύμα.