Злоумышленники используют DNS-запросы в рамках фишинговых атак ClickFix для доставки вредоносного ПО. Это первый известный случай использования DNS в качестве канала в подобных кампаниях.
Атаки ClickFix обычно обманом заставляют пользователей вручную выполнять вредоносные команды под видом исправления ошибок, установки обновлений или включения функций.
Однако новый вариант использует новаторскую технику, при которой управляемый злоумышленником DNS-сервер доставляет полезную нагрузку второй стадии через DNS-запросы.
DNS-запросы доставляют вредоносный PowerShell-скрипт
В новой кампании ClickFix, замеченной Microsoft, жертвам предлагается выполнить команду nslookup, которая вместо системного DNS-сервера обращается к управляемому злоумышленником DNS-серверу.
Команда возвращает запрос, содержащий вредоносный PowerShell-скрипт, который затем выполняется на устройстве для установки вредоносного ПО.
“Исследователи Microsoft Defender наблюдали, как злоумышленники использовали еще один метод уклонения в технике ClickFix: они просили цели выполнить команду, которая выполняет пользовательский DNS-запрос и анализирует ответ Name:, чтобы получить полезную нагрузку следующей стадии для выполнения”, — говорится в сообщении Microsoft Threat Intelligence в X.
Хотя неясно, какой именно предлог используется для обмана пользователей, Microsoft сообщает, что атака ClickFix предписывает пользователям выполнять команду в диалоговом окне “Выполнить” в Windows.
Эта команда выполнит DNS-запрос к DNS-серверу злоумышленника по адресу 84[.]21.189[.]20 для имени хоста “example.com”, а затем выполнит полученный ответ через интерпретатор команд Windows (cmd.exe).
Этот DNS-ответ возвращает поле “NAME:”, содержащее второй PowerShell-payload, который выполняется на устройстве.
Хотя этот сервер больше недоступен, Microsoft заявляет, что команда PowerShell второй стадии загружала дополнительное вредоносное ПО из инфраструктуры, контролируемой злоумышленниками.
В конечном итоге атака загружает ZIP-архив, содержащий исполняемый файл Python и вредоносные скрипты, которые выполняют разведку на зараженном устройстве и в домене.
Затем атака устанавливает персистентность, создавая файл %APPDATA%\WPy64-31401\python\script.vbs и ярлык %STARTUP%\MonitoringService.lnk для запуска VBScript-файла при запуске.
Финальной полезной нагрузкой является троян удаленного доступа ModeloRAT, который позволяет злоумышленникам удаленно управлять скомпрометированными системами.
В отличие от обычных атак ClickFix, которые обычно получают полезные нагрузки через HTTP, эта техника использует DNS в качестве канала связи и подготовки.
Используя DNS-ответы для доставки вредоносных PowerShell-скриптов, злоумышленники могут изменять полезные нагрузки “на лету”, маскируясь под обычный DNS-трафик.
Атаки ClickFix стремительно развиваются
Атаки ClickFix стремительно развиваются за последний год: злоумышленники экспериментируют с новыми методами доставки и типами полезных нагрузок, нацеливаясь на широкий спектр операционных систем.
Ранее сообщалось, что кампании ClickFix полагались на убеждение пользователей выполнять PowerShell или командные скрипты непосредственно в своих операционных системах для установки вредоносного ПО.
В более новых кампаниях злоумышленники расширили свои методы за пределы традиционной доставки вредоносных нагрузок через веб.
Например, недавняя атака ClickFix под названием “ConsentFix” использует приложение Azure CLI OAuth для угона учетных записей Microsoft без пароля и обхода многофакторной аутентификации (MFA).
С ростом популярности больших языковых моделей (LLM) для повседневного использования злоумышленники начали использовать общие страницы ChatGPT и Grok, а также страницы Claude Artifact, для продвижения поддельных руководств по атакам ClickFix.
BleepingComputer также сегодня сообщил о новой атаке ClickFix, продвигаемой через комментарии в Pastebin, которая обманула пользователей криптовалют, заставив их выполнить вредоносный JavaScript непосредственно в браузере во время посещения криптовалютной биржи для угона транзакций.
Это одна из первых кампаний ClickFix, разработанных для выполнения JavaScript в браузере и угона функциональности веб-приложений, а не для развертывания вредоносного ПО.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
