Microsoft dezvăluie atacul ClickFix bazat pe DNS
Sursă: https://thehackernews.com
Microsoft a dezvăluit detalii despre o nouă versiune a tehnicii de inginerie socială ClickFix, în care atacatorii îi determină pe utilizatorii neinformați să execute comenzi care efectuează o căutare în DNS (Domain Name System) pentru a descărca payload-ul următor.
Mai precis, atacul se bazează pe utilizarea comenzii nslookup (nameserver lookup) pentru a executa o căutare DNS personalizată inițiată prin fereastra de dialog Windows Run.
ClickFix este o tehnică din ce în ce mai populară, care este livrată în mod obișnuit prin phishing, malvertising sau scheme de descărcare drive-by, redirecționând adesea utilizatorii către pagini de destinație false care găzduiesc verificări CAPTCHA false sau instrucțiuni pentru a remedia o problemă inexistentă pe computerele lor, executând o comandă fie prin dialogul Windows Run, fie prin aplicația macOS Terminal.
Metoda de atac s-a răspândit în ultimii doi ani, deoarece se bazează pe infectarea propriilor computere ale utilizatorilor cu malware, permițând astfel atacatorilor să ocolească măsurile de securitate.
Eficacitatea ClickFix a fost atât de mare încât a dat naștere la mai multe variante, precum FileFix, JackFix, ConsentFix, CrashFix și GlitchFix.
Microsoft a afirmat că această noua variantă a ClickFix utilizează DNS ca un canal de stocare temporară sau de semnalizare, permițând atacatorilor să ajungă la infrastructura aflată sub controlul său, precum și să creeze un nou strat de validare înainte de a executa payload-ul din a doua etapă.
Payload-ul descărcat inițiază ulterior un lanț de atacuri care duce la descărcarea unei arhive ZIP de pe un server extern, din care este extras și rulat un script Python rău intenționat pentru a efectua recunoaștere, a rula comenzi de detectare și a plasa un script Visual Basic (VBScript) responsabil pentru lansarea ModeloRAT, un troian de acces la distanță bazat pe Python distribuit anterior prin CrashFix.
Pentru a asigura persistența, în folderul Windows Startup este creat un fișier shortcut Windows (LNK) care indică VBScript, astfel încât malware-ul să fie lansat automat de fiecare dată când este pornit sistemul de operare.
Utilizarea tehnicilor ClickFix pentru a viza macOS subliniază o tendință mai largă în care atacatorii caută din ce în ce mai mult mașini care rulează sistemul de operare Apple pentru a le infecta cu infostealere și instrumente sofisticate.
Nu mai puțin de 103 extensii criptografice Chrome sunt vizate de stealeri macOS, atacatorii obținând semnături valide de dezvoltator Apple pentru a ocoli protecțiile Gatekeeper.
Sursă: https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html
