ClickFix se folosește de Gmeet și Zoom Pages pentru a furniza malware Infostealer

O tactică sofisticată de inginerie socială denumită ClickFix a apărut ca o amenințare semnificativă la adresa securității cibernetice, exploatând pagini false de conferințe Google Meet și Zoom pentru a distribui software rău intenționat.

Identificată pentru prima dată în mai 2024, această metodă înșelătoare a câștigat deja amploare în rândul diferitelor grupări de atacatori. Metoda de atac este remarcabil de consistentă între diferitele variante.

Acest atac afișează utilizatorilor mesaje de eroare malițioase pe ceea ce par a fi platforme legitime de videoconferințe, incluzând probleme false legate de microfon sau căști.

Utilizatorii sunt apoi ghidați prin pași aparent inofensivi care, în cele din urmă, le compromit sistemele.

Specialiștii în securitate cibernetică au observat că exploatarea începe atunci când utilizatorii sunt îndemnați să acceseze căsuța de dialog (Windows +R) a comenzii Run, urmată de combinația de taste CTRL + V pentru a insera codul malițios copiat în secret în clipboard-ul lor prin JavaScript.

Ultimul pas implică apăsarea tastei ENTER, ce execută comanda malițioasă, utilizând  de obicei PowerShell sau Mshta pentru a descărca și a implementa payload-ul.

Ceea ce face ClickFix deosebit de periculos este utilizarea inteligentă a Windows Explorer ca proces parental, făcând ca activitatea malițioasă să pară mai legitimă și mai greu de detectat.

Lanțul de atac variază în funcție de sistemele de operare, utilizatorii macOS fiind vizați de descărcări directe ale malware-ului Amos Stealer, în timp ce utilizatorii Windows se confruntă cu metode de infectare mai complexe.

Lanțul de infectare Windows urmează de obicei două scenarii principale. În primul, atacul utilizează comenzi mshta pentru a executa cod malițios, în timp ce al doilea utilizează scripturi PowerShell.

Ambele metode duc în cele din urmă la descărcarea și executarea malware-ului infostealer.

Specialiștii în domeniul securității au observat că infrastructura de atac include mai multe componente:

• pagini de videoconferință false care imită îndeaproape platformele legitime;
• cod JavaScript sofisticat care manipulează clipboard-ul sistemului;
• servere multiple de comandă și control pentru distribuirea payload-ului;
• tehnici avansate de evitare pentru a evita detectarea.

Pentru a se proteja împotriva atacurilor ClickFix, organizațiile sunt sfătuite să:

• implementați soluții eficiente de detectare și răspuns la endpoint-uri (EDR);
• monitorizați activitățile suspecte PowerShell și mshta.exe;
• implementați mecanisme de detecție la nivel de rețea;
• informați utilizatorii cu privire la cele mai bune practici pentru securitatea videoconferințelor.

Pe măsură ce ClickFix continuă să evolueze și să fie adoptat de diverse grupări, echipele de securitate trebuie să rămână vigilente și să își adapteze metodele de detectare și prevenire în consecință.

Sursă: https://cybersecuritynews.com/clickfix-leveraging-gmeet-and-zoom/