Un nou atac de tip ClickFix vizează sistemele Windows și MacOS

O tehnică de inginerie socială numită ClickFix a reapărut cu o intensitate semnificativă, determinând utilizatorii atât de pe Windows, cât și de pe macOS să execute manual comenzi rău intenționate care instalează în secret programe malware pe dispozitivele lor.

Ceea ce face ClickFix deosebit de periculos este faptul că pare o operațiune de rutină pentru utilizatorii neavizați. În loc să exploateze direct o vulnerabilitate a software-ului, aceasta prezintă utilizatorilor un ecran de verificare fals care imită servicii de încredere precum Cloudflare CAPTCHA sau Google reCAPTCHA.

O comandă rău intenționată este plasată în mod ascuns în clipboard prin intermediul unui script JavaScript care rulează în fundal, iar utilizatorul este apoi îndemnat să o insereze în caseta de dialog Run din Windows sau în Terminalul macOS, oferindu-i astfel atacatorului, fără să-și dea seama, acces direct la sistemul său.

Specialiștii au identificat cinci grupuri distincte ClickFix, fiecare dintre acestea folosind aceeași tehnică principală de înșelăciune, dar diferind în ceea ce privește temele abordate, infrastructura și sectoarele vizate.

Toate cele cinci grupuri se bazează pe o abordare de tip living-off-the-land (LotL), folosind instrumente de sistem de încredere deja prezente pe sistemul de operare pentru a efectua atacul.

Prin redirecționarea execuției prin utilitare native precum PowerShell sau Terminalul macOS, atacatorii acționează efectiv în afara razei de protecție a majorității sistemelor de securitate standard bazate pe browser.

Printre familiile de programe malware utilizate în cadrul acestor campanii se numără NetSupport RAT, Odyssey Stealer, Lumma Stealer și MacSync, instrumente capabile să preia controlul de la distanță asupra sistemelor, să sustragă datele de autentificare și să colecteze informații despre portofelele de criptomonede de pe dispozitivele infectate.

Echipele de securitate ar trebui să dezactiveze caseta Windows Run din Windows prin intermediul Group Policy Objects (GPO), pentru a elimina o cale principală de distribuire.

Implementarea modulului PowerShell Constrained Language, alături de politicile AppLocker sau Windows Defender Application Control, va contribui la blocarea executării neautorizate a scripturilor.

Pe macOS, accesul la terminal ar trebui restricționat prin gestionarea dispozitivelor mobile, cu Protecția integrității sistemului menținută activată în permanență.

Actualizarea continuă a platformelor SIEM și EDR cu informații actuale privind amenințările, pentru a bloca domeniile de pregătire și de comandă și control recent identificate, adaugă un alt strat critic de apărare.

Sursă: https://cybersecuritynews.com/new-clickfix-attack-leverage-windows-run-dialog-box/