Злоумышленники пробуют новую тактику, чтобы заманить сотрудников в фишинговые атаки ClickFix, устанавливающие вредоносное ПО, сообщает Microsoft.
Вместо того чтобы просить потенциальных жертв скопировать и вставить (вредоносную) команду в диалоговое окно «Выполнить», вызываемое нажатием клавиши Windows и буквы R, им теперь предлагают использовать сочетание клавиш Windows + X → I для прямого запуска Windows Terminal (wt.exe).
После открытия терминала жертвам предлагается вставить вредоносные команды PowerShell, доставляемые через поддельные страницы CAPTCHA, подсказки по устранению неполадок или приманки в виде запросов на верификацию, которые выглядят как рутинные и безвредные.
Зачем? Такой подход позволяет обойти средства защиты, ищущие необычные команды запуска, а также обходит обучение по осведомленности в области безопасности, которое предписывает сотрудникам ничего не делать, что вызывает команду «Выполнить».
Microsoft описала эту тактику в сообщении на X на этой неделе, отметив, что примечательными в этой кампании являются результаты после компрометации. В одном из случаев открывается несколько экземпляров Windows Terminal/PowerShell, которые в конечном итоге запускают другой процесс PowerShell, ответственный за декодирование внедренных шестнадцатеричных команд.
Затем декодированный скрипт PowerShell загружает легитимный, но переименованный бинарный файл 7-Zip и сохраняет его со случайным именем файла, наряду с заархивированным полезным грузом. Переименованная утилита архивирования извлекает и запускает вредоносное ПО, которое выполняет многоступенчатую цепочку атак, включающую получение дополнительных полезных нагрузок, установление постоянства через запланированные задачи, уклонение от обнаружения с помощью исключений Microsoft Defender и эксфильтрацию украденных данных машины и сети.
Во втором векторе атаки жертва вставляет шестнадцатерично закодированную, XOR-сжатую команду в Windows Terminal. Эта команда загружает случайно названный пакетный файл в AppData\Local, который затем вызывается через cmd.exe для записи VBScript в %Temp%. Пакетный скрипт выполняется через cmd.exe с аргументом командной строки /launched, а затем снова выполняется через MSBuild.exe, что приводит к злоупотреблению LOLBin. Скрипт подключается к конечным точкам Crypto Blockchain RPC, что указывает на технику etherhiding, а также выполняет внедрение кода на основе QueueUserAPC() в процессы chrome.exe и msedge.exe для сбора веб-данных и данных для входа в систему.
Но это действительно ново?
Однако несколько экспертов быстро добавили комментарии к сообщению Microsoft, жалуясь, что тактика Windows + X не нова.
Роджер Граймс, советник по вопросам информационной безопасности в провайдере обучающих программ KnowBe4, согласился.
«Атаки ClickFix с использованием Win+X вместо Win+R существуют по меньшей мере шесть месяцев, если не год или больше», — сказал он в электронном письме. «То, что они делают во время выполнения, не ново».
Тем не менее, добавил он, продолжающееся и растущее использование атак ClickFix означает, что руководителям по информационной безопасности по-прежнему необходимо обучать сотрудников по этому поводу.
«У нас давно есть учебные материалы по этому типу атак. Пользователи должны знать, что ничто легитимное никогда не попросит их нажать Win+какие-либо клавиши, чтобы вставить бессмыслицу для запуска кода. Все, что делает это, не должно выполняться», — сказал он.
«И все компьютеры с Windows уже должны быть ограничены таким образом, чтобы случайные, неподписанные (не подписанные организацией) команды PowerShell не разрешались. В каждой организации и на каждой машине уже должна быть включена следующая настройка команды PowerShell: ‘Set-ExecutionPolicy Restricted -Force‘. Если это не так, риск кибербезопасности вашей организации намного выше, чем должен быть».
Цепочка полезной нагрузки «создана на века»
Джошуа Робак, ведущий архитектор решений по безопасности в Swimlane, отметил, что кампания, описанная Microsoft, продвигает плейбук ClickFix в более доверенные, повседневные рабочие процессы, заставляя пользователей запускать вставленное содержимое команд внутри легитимных инструментов Windows, которые кажутся рутинными и безопасными. Это важно, сказал он, потому что это позволяет обойти обычные ментальные «красные флаги», которые люди связывают с подозрительными всплывающими окнами, а также может обойти некоторые средства контроля и обнаружения, которые команды безопасности настроили на более очевидные шаблоны ClickFix.
Цепочка полезной нагрузки также более «создана на века», чем предыдущие варианты, добавил он. Вместо быстрого трюка с одноразовой загрузкой, она использует более многоуровневый подход к доставке и обеспечению постоянства, который помогает ей маскироваться, дольше оставаться незамеченной и незаметно усугублять ущерб после попадания. Один из путей добавляет дополнительный уровень косвенности, который помогает инфраструктуре злоумышленника слиться с окружением и оставаться доступной, что делает вывод из строя и прямое блокирование гораздо менее эффективными.
Для руководителей по информационной безопасности, сказал он, сообщение для сотрудников должно быть ясным. «Используйте простое правило: никогда не запускайте вставленные команды, никогда не одобряйте неожиданные входы в систему и сообщайте обо всех инцидентах через официальные каналы поддержки компании».
Как работает ClickFix
Фишинговые кампании ClickFix начались в 2024 году, как отметила Microsoft в своем блоге безопасности в прошлом году, где подробно описывались тактики кампании и индикаторы компрометации. Атака начинается с того, что сотруднику предлагается нажать на ссылку или открыть вложение, часто с темой оплаты или счета, в электронном письме или текстовом сообщении. Чтобы обойти средства защиты, блокирующие загрузку неутвержденных файлов, пользователю в диалоговом окне предлагается «проверить загрузку», открыв диалоговое окно «Выполнить» и скопировав туда что-либо.
Цель состоит в том, чтобы заставить ничего не подозревающую жертву загрузить вредоносное ПО, такое как похитители информации (обычно LummaStealer), инструменты удаленного доступа, такие как Xworm, AsyncRAT, NetSupport и SectopRAT; загрузчики, такие как Latrodectus и MintsLoader; и руткиты.
В блоге Microsoft приводит советы для защитников по борьбе с атаками ClickFix, в том числе рекомендует им включить журналирование блоков скриптов PowerShell для обнаружения и анализа обфусцированных или закодированных команд, что обеспечит видимость выполнения вредоносных скриптов, которые в противном случае могли бы избежать традиционного логирования.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
