Noile atacuri ClickFix abuzează de scripturile Windows App-V
Sursă: https://www.bleepingcomputer.com
O nouă campanie rău intenționată combină metoda ClickFix cu un CAPTCHA fals și un script Microsoft Application Virtualization (App-V) semnat pentru a furniza în final malware-ul Amatera, care sustrage informații.
Scriptul Microsoft App-V acționează ca un fișier binar living-off-the-land care execută PowerShell prin intermediul unei componente Microsoft de încredere pentru a ascunde activitatea rău intenționată.
Microsoft Application Virtualization este o funcție Windows enterprise care permite aplicațiilor să fie compilate și rulate în medii virtuale izolate, fără a fi instalate efectiv pe sistem.
Deși scripturile App-V au fost utilizate în trecut pentru a ocoli soluțiile de securitate, aceasta este prima dată când acest tip de fișier a fost observat în atacurile ClickFix care distribuie un program cu scopul de a sustrage informații.
Potrivit specialiștilor, atacul începe cu o verificare CAPTCHA falsă, care solicită utilizatorului să insereze manual și să execute o comandă prin intermediul ferestrei Windows Run.
Comanda inserată abuzează de scriptul legitim SyncAppvPublishingServer.vbs App-V, care este utilizat în mod obișnuit pentru publicarea și gestionarea aplicațiilor enterprise virtualizate.
Scriptul este executat folosind fișierul binar de încredere wscript.exe și lansează PowerShell.
Când condițiile sunt îndeplinite, malware-ul recuperează datele de configurare dintr-un fișier public Google Calendar care conține valori de configurare codificate în base64 într-un eveniment specific.
În etapele ulterioare ale atacului, un proces PowerShell ascuns pe 32 de biți este generat prin intermediul framework-ului Windows Management Instrumentation (WMI), iar mai multe payload-uri încorporate sunt decriptate și încărcate în memorie.
Lanțul de infectare trece apoi la ascunderea payload-urilor folosind steganografia, unde un payload PowerShell criptat este încorporată în imagini PNG găzduite pe CDN-uri publice și recuperată dinamic prin intermediul API-urilor WinINet rezolvate.
Datele utile sunt extrase prin steganografie LSB, decriptate, decomprimate GZip și executate integral în memorie. Etapa finală PowerShell decriptează și lansează codul shell nativ, care mapează și execută infostealerul Amatera.
Odată activat pe host, malware-ul se conectează la o adresă IP hardcoded pentru a recupera mapările endpoint-urilor și așteaptă payload-urile binare suplimentare furnizate prin cereri HTTP POST.
Pe baza suprapunerii codului, Amatera se bazează pe infostealerul ACR și se află în curs de dezvoltare activă, fiind disponibil ca malware-as-a-service (MaaS).
Operatorii Amatera l-au furnizat în trecut prin metoda ClickFix, în care utilizatorii erau păcăliți să execute direct o comandă PowerShell.
Pentru a se proteja împotriva acestor atacuri, specialiștii propun restricționarea accesului la fereastra Windows Run prin Group Policy, eliminarea componentelor App-V atunci când nu sunt necesare, activarea jurnalizării PowerShell și monitorizarea conexiunilor de ieșire pentru neregulile dintre antetul HTTP Host sau TLS SNI și IP-ul de destinație.
Sursă: https://www.bleepingcomputer.com/news/security/new-clickfix-attacks-abuse-windows-app-v-scripts-to-push-malware/
