Μια νέα καμπάνια διανομής κακόβουλου λογισμικού χρησιμοποιεί πλαστά σφάλματα Google Chrome, Word και OneDrive για να εξαπατήσει τους χρήστες να εκτελέσουν κακόβουλες «διορθώσεις» του PowerShell που εγκαθιστούν κακόβουλο λογισμικό.

Η νέα καμπάνια παρατηρήθηκε να χρησιμοποιείται από πολλούς παράγοντες απειλών, συμπεριλαμβανομένων εκείνων που βρίσκονται πίσω από το ClearFake, ένα νέο σύμπλεγμα επιθέσεων που ονομάζεται ClickFix και τον παράγοντα απειλών TA571, γνωστός για τη λειτουργία του ως διανομέας ανεπιθύμητων μηνυμάτων που στέλνει μεγάλους όγκους email, οδηγώντας σε μολύνσεις από κακόβουλο λογισμικό και ransomware .

Οι προηγούμενες επιθέσεις ClearFake χρησιμοποιούν επικαλύψεις ιστότοπου που προτρέπουν τους επισκέπτες να εγκαταστήσουν μια ψεύτικη ενημέρωση προγράμματος περιήγησης που εγκαθιστά κακόβουλο λογισμικό.

Οι φορείς απειλών χρησιμοποιούν επίσης JavaScript σε συνημμένα HTML και σε παραβιασμένους ιστότοπους στις νέες επιθέσεις. Ωστόσο, τώρα οι επικαλύψεις εμφανίζουν πλαστά σφάλματα Google Chrome, Microsoft Word και OneDrive.

Αυτά τα σφάλματα προτρέπουν τον επισκέπτη να κάνει κλικ σε ένα κουμπί για να αντιγράψει μια “διόρθωση” του PowerShell στο πρόχειρο και στη συνέχεια να την επικολλήσει και να την εκτελέσει σε ένα παράθυρο διαλόγου Run: ή PowerShell.

«Αν και η αλυσίδα επίθεσης απαιτεί σημαντική αλληλεπίδραση με τον χρήστη για να είναι επιτυχής, η κοινωνική μηχανική είναι αρκετά έξυπνη για να παρουσιάσει σε κάποιον αυτό που μοιάζει με πραγματικό πρόβλημα και λύση ταυτόχρονα, κάτι που μπορεί να ωθήσει έναν χρήστη να αναλάβει δράση χωρίς να λαμβάνει υπόψη τον κίνδυνο», προειδοποιεί ένα νέο έκθεση από το ProofPoint.

Τα ωφέλιμα φορτία που βλέπει το Proofpoint περιλαμβάνουν το DarkGate, το Matanbuchus, το NetSupport, το Amadey Loader, το XMRig, έναν αεροπειρατή πρόχειρου και το Lumma Stealer.

Οι αναλυτές του Proofpoint παρατήρησαν τρεις αλυσίδες επίθεσης που διαφοροποιούνται κυρίως στα αρχικά τους στάδια, με μόνο την πρώτη να μην αποδίδεται με μεγάλη εμπιστοσύνη στο TA571.

Σε αυτήν την πρώτη περίπτωση, που σχετίζεται με τους παράγοντες απειλής πίσω από το ClearFake, οι χρήστες επισκέπτονται έναν παραβιασμένο ιστότοπο που φορτώνει ένα κακόβουλο σενάριο που φιλοξενείται στο blockchain μέσω των συμβάσεων Smart Chain της Binance.

Αυτό το σενάριο εκτελεί ορισμένους ελέγχους και εμφανίζει μια ψεύτικη προειδοποίηση του Google Chrome που αναφέρει πρόβλημα με την εμφάνιση της ιστοσελίδας. Στη συνέχεια, το παράθυρο διαλόγου ζητά από τον επισκέπτη να εγκαταστήσει ένα “πιστοποιητικό ρίζας” αντιγράφοντας ένα σενάριο PowerShell στο Πρόχειρο των Windows και εκτελώντας το σε μια κονσόλα Windows PowerShell (Διαχειριστής).

Όταν εκτελεστεί το σενάριο PowerShell, θα εκτελέσει διάφορα βήματα για να επιβεβαιώσει ότι η συσκευή είναι έγκυρος στόχος και, στη συνέχεια, θα πραγματοποιήσει λήψη πρόσθετων ωφέλιμων φορτίων, όπως περιγράφεται παρακάτω.

Η δεύτερη αλυσίδα επίθεσης σχετίζεται με την καμπάνια ‘ClickFix’ και χρησιμοποιεί μια ένεση σε παραβιασμένους ιστότοπους που δημιουργεί ένα iframe για να επικαλύψει ένα άλλο ψεύτικο σφάλμα του Google Chrome.

Οι χρήστες λαμβάνουν οδηγίες να ανοίξουν το “Windows PowerShell (Admin)” και να επικολλήσουν τον παρεχόμενο κώδικα, οδηγώντας στις ίδιες μολύνσεις που αναφέρονται παραπάνω.

Τέλος, μια αλυσίδα μόλυνσης που βασίζεται σε email που χρησιμοποιεί συνημμένα HTML που μοιάζουν με έγγραφα του Microsoft Word προτρέπει τους χρήστες να εγκαταστήσουν την επέκταση “Word Online” για να προβάλουν σωστά το έγγραφο.

Το μήνυμα σφάλματος προσφέρει επιλογές “Πώς να διορθωθεί” και “Αυτόματη επιδιόρθωση”, με το “Πώς να διορθωθεί” να αντιγράφει μια εντολή PowerShell με κωδικοποίηση base64 στο πρόχειρο, δίνοντας οδηγίες στον χρήστη να την επικολλήσει στο PowerShell.

Αυτόματη επιδιόρθωση» χρησιμοποιεί το πρωτόκολλο search-ms για να εμφανίσει ένα αρχείο «fix.msi» ή «fix.vbs» που φιλοξενείται από το WebDAV σε ένα κοινόχρηστο στοιχείο αρχείου που ελέγχεται από απομακρυσμένο εισβολέα.

Σε αυτήν την περίπτωση, οι εντολές PowerShell πραγματοποιούν λήψη και εκτέλεση είτε ενός αρχείου MSI είτε ενός σεναρίου VBS, οδηγώντας σε μολύνσεις από το Matanbuchus ή το DarkGate, αντίστοιχα.

Σε όλες τις περιπτώσεις, οι φορείς απειλών εκμεταλλεύονται την έλλειψη επίγνωσης των στόχων τους σχετικά με τους κινδύνους από την εκτέλεση εντολών PowerShell στα συστήματά τους.

Εκμεταλλεύονται επίσης την αδυναμία των Windows να εντοπίσουν και να αποκλείσουν τις κακόβουλες ενέργειες που ξεκινούν από τον επικολλημένο κώδικα.

Οι διαφορετικές αλυσίδες επίθεσης δείχνουν ότι το TA571 πειραματίζεται ενεργά με πολλαπλές μεθόδους για να βελτιώσει την αποτελεσματικότητα και να βρει περισσότερα μονοπάτια μόλυνσης για να θέσει σε κίνδυνο μεγαλύτερο αριθμό συστημάτων.