Fake Google Meet păcălește utilizatorii să ruleze malware PowerShell

A fost identificată o nouă campanie complexă de inginerie socială ce utilizează pagini false de conferințe Google Meet cu scopul de a determina utilizatorii să execute manual comenzi PowerShell malițioase, ducând la compromiterea sistemului prin diverse programe malware care sustrag informații, inclusiv AsyncRAT, StealC și Rhadamanthys.

Această amenințare recentă, cunoscută sub numele de ClickFix, reprezintă o evoluție îngrijorătoare a tacticilor de phishing, ce ocolește măsurile tradiționale de securitate prin exploatarea comportamentului uman mai degrabă decât a vulnerabilităților tehnice.

Specialiștii semnalează că atacul începe cu e-mailuri de phishing atent elaborate ce par a fi invitații Google Meet legitime, direcționând utilizatorii către URL-uri malițioase precum meet.google.us-join.com și meet.googie.com-join.us.

 Atunci când utilizatorii accesează link-urile, aceștia se confruntă cu interfețe Google Meet false, meticulos concepute, ce afișează mesaje de eroare convingătoare de tipul Microphone Permission Denied.

Pagina malițioasă utilizează dispozitive JavaScript de ascultare a evenimentelor pentru a simula o funcționalitate legitimă, prezentând în același timp utilizatorilor false probleme tehnice ce necesită rezolvare imediată.

Tactica de inginerie socială se concentrează în jurul unei pagini false intitulate Ready to Join? care declanșează o fereastră de dialog în care se afirmă Can’t join the meeting atunci când utilizatorii încearcă să participe.

Acest mod conține un buton Try Fix care, atunci când este apăsat, execută funcția copyToClipboard(), copiind în mod silențios o comandă PowerShell rău intenționată în clipboard-ul utilizatorului. Instrucțiunile ulterioare îndrumă utilizatorii care nu bănuiesc nimic să deschidă PowerShell și să lipească comanda.

Această comandă descarcă și execută scripturi malițioase de pe site-uri web compromise, ce conțin adesea payload-uri malware codate-XOR.

Variantele avansate vizează atât sistemele Windows, cât și macOS, utilizatorii Windows primind programele StealC și Rhadamanthys stealer, în timp ce utilizatorii Apple se confruntă cu fișiere disk image malițioase ce conțin malware-ul Atomic stealer.

Acest vector de atac se dovedește deosebit de periculos deoarece ocolește caracteristicile clasice de securitate ale browserului, cum ar fi Google Safe Browsing, prin faptul că necesită interacțiunea manuală a utilizatorului, mai degrabă decât executarea automată a fișierelor.

Se recomandă o atenție sporită asupra acestor tipuri de invitații, subliniind faptul că serviciile legitime nu solicită niciodată utilizatorilor să execute comenzi PowerShell din instrucțiuni de e-mail.

Sursă: https://cybersecuritynews.com/weaponized-google-meet-page/