Поделиться
Обнаружена новая разновидность хакерских атак, обманывающая антивирусы. Она обречена на широкое распространение
Атака, представляющая собой разновидность ClickFix, по-видимому, обречена на самое широкое распространение.
Опасная копипаста
Исследователи выявили новый вариант социальной инженерии, которая использует «контрабанду» кэша браузеров для подгрузки вредоносных файлов в систему жертвы и обхода защитных средств (антивирусов).
Многоступенчатую атаку характеризует высокая степень изобретательности, хотя её не без основания называют разновидностью уже широко известного приёма ClickFix.
Новая методика предполагает использование диалоговых окон Проводника Windows для скрытного выполнения вредоносных скриптов PowerShell: потенциальную жертву обманом заставляют скопировать соответствующий замаскированный код.
Говоря конкретнее, пользователю, попавшему на скомпрометированный сайт, выводит окно под названием Fortinet VPN client compliance check (проверка подлинности клиента Fortinet VPN); естественно, это может быть никак не связано с присутствием такого клиента в сетевом окружении.
В этом окне содержатся инструкции скопировать из поля ссылку, вставить её в адрес Проводника Windows и нажать Enter.
Ссылка имеет вид \\Public\Support\VPN\FortinclientCompliance.exe: якобы это программа, находящаяся на (корпоративном) сервере в разделе поддержки.
На самом деле, указанная ссылка куда длиннее: перед \\Public - 139 пробелов, а перед ними - вредоносный скрипт PowerShell, который запускается через conhost.exe в автономном режиме и, соответственно, не видна пользователю.
Команда PowerShell сначала создает папку %LOCALAPPDATA%\FortiClient\compliance, затем копирует файлы кэша Chrome из %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\Cache_Data\ в эту папку.
Затем скрипт сканирует каждый файл кэша, используя регулярные выражения, чтобы найти содержимое, заключённое между последовательностями символов «bTgQcBpv» и «mX6o0lBw». На самом деле под этими именами скрывается поддельный файл изображения, содержимое которого переименовывается в ComplianceChecker.zip и распаковывается.
Затем скрипт запускает исполняемый файл FortiClientComplianceChecker.exe уже из извлеченного архива для выполнения вредоносного кода.
Что же касается проникновения вредоносного файла в кэш браузера, то как раз тут вступает в дело приём «контрабанды кэша»: при посещении потенциальной жертвой фишингового сайта на нём запускается скрипт JavaScript, который предписывает браузеру выкачать и закэшировать нужный файл, выдаваемый за изображение (image/jpeg). На деле же это архив .ZIP.
Это позволяет обойти средства обнаружения: эксплуатируется штатный механизм браузера, который, однако, приводит к проникновению вредоносного кода в систему потенциальной жертвы.
«Описываемый трюк нельзя не назвать крайне находчивым - и эффективным. Уберечься от серьёзных последствий, впрочем, можно сравнительно легко: просто ни при каких обстоятельствах не копировать текст из какого-либо окна на веб-сайте и не вставлять его в какие-либо диалоги операционной системы, особенно связанные с выполнением команд, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Широкое распространение такого рода атак можно считать неизбежным, так что корпоративным службам информбезопасности необходимо проинструктировать работников на их счёт уже сейчас».
Изобретательность растёт
Издание Bleeping Computer пишет - со ссылкой на исследователей Palo Alto Networks - об обнаружении вредоносного «конструктора» IUAM ClickFix Generator, который позволяет автоматизировать создание ClickFix-приманок и их разновидностей.
Конструктор позволяет задавать дизайн поддельных страниц «верификации», их название, текст, цветовые схемы и т.д., и настраивать вредоносную начинку, которую потенциальная жертва должна по идее копировать из браузера.
Генератор также поддерживает определение операционной системы, так что пользователям Windows выводится код PowerShell, а пользователям Mac - закодированные в формате Base64 команды терминала.
Хотя каждая приманка настраивается в соответствии с кампанией злоумышленника, поведение остается неизменным: отображается поддельная CAPTCHA Cloudflare, которая предлагает пользователям выполнить скрытую команду в командной строке, диалоговом окне «Выполнить» или терминале.
В ходе кампании, за которой наблюдало подразделение 42, атаки с использованием социальной инженерии применялись для заражения устройств вредоносным ПО для кражи информации DeerStealer (Windows) и Odyssey (Mac), а также другой неизвестной пока вредоносной программой под Windows.
Короткая ссылка
