Hackers χρησιμοποιούν πλαστά σφάλματα Google Chrome, Word και OneDrive για να εξαπατήσουν τους χρήστες να εκτελέσουν κακόβουλες “διορθώσεις” PowerShell που εγκαθιστούν malware.
Η νέα καμπάνια παρατηρήθηκε από πολλούς παράγοντες απειλών, συμπεριλαμβανομένων εκείνων που βρίσκονται πίσω από την εκστρατεία ClearFake, ένα νέο σύμπλεγμα επιθέσεων που ονομάζεται ClickFix και τον παράγοντα απειλών TA571.
Οι προηγούμενες επιθέσεις ClearFake χρησιμοποιούν website overlays που προτρέπουν τους επισκέπτες να εγκαταστήσουν μια ψεύτικη ενημέρωση προγράμματος περιήγησης που, επίσης, εγκαθιστά κακόβουλο λογισμικό.
Δείτε επίσης: Το NiceRAT malware στοχεύει χρήστες μέσω cracked software
Στις νέες επιθέσεις, οι hackers χρησιμοποιούν επίσης JavaScript σε συνημμένα HTML και σε παραβιασμένους ιστότοπους. Ωστόσο, παρατηρήθηκε τώρα ότι τα overlays εμφανίζουν πλαστά σφάλματα Google Chrome, Microsoft Word και OneDrive.
Αυτά τα σφάλματα προτρέπουν τον επισκέπτη να κάνει κλικ σε ένα κουμπί για να αντιγράψει μια “διόρθωση” του PowerShell στο πρόχειρο και, στη συνέχεια, να την επικολλήσει και να την εκτελέσει σε ένα παράθυρο διαλόγου ” Run: ” ή σε μήνυμα PowerShell.
«Αν και η αλυσίδα επίθεσης απαιτεί σημαντική αλληλεπίδραση με τον χρήστη για να είναι επιτυχής, η κοινωνική μηχανική είναι αρκετά έξυπνη για να παρουσιάσει σε κάποιον αυτό που μοιάζει με πραγματικό πρόβλημα και λύση ταυτόχρονα, κάτι που μπορεί να ωθήσει έναν χρήστη να αναλάβει δράση χωρίς να λαμβάνει υπόψη τον κίνδυνο», προειδοποιούν ερευνητές της ProofPoint.
Τα malware που διανέμονται μέσω αυτής της νέας καμπάνιας, σύμφωνα με την Proofpoint, περιλαμβάνουν το DarkGate, το Matanbuchus, το NetSupport, το Amadey Loader, το XMRig, ένα clipboard hijacker και το Lumma Stealer.
Σφάλματα Chrome και “διόρθωση” PowerShell οδηγούν σε malware
Οι αναλυτές της Proofpoint παρατήρησαν τρεις αλυσίδες επίθεσης που διαφοροποιούνται κυρίως στα αρχικά τους στάδια.
Στην πρώτη περίπτωση, οι χρήστες επισκέπτονται έναν παραβιασμένο ιστότοπο που φορτώνει ένα κακόβουλο script που φιλοξενείται στο blockchain, μέσω Smart Chain contracts της Binance.
Δείτε επίσης: Το νέο DISGOMOJI malware ελέγχεται μέσω emoji από το Discord
Αυτό το script εκτελεί ορισμένους ελέγχους και εμφανίζει μια ψεύτικη προειδοποίηση του Google Chrome που αναφέρει πρόβλημα με την εμφάνιση της ιστοσελίδας. Στη συνέχεια, ο επισκέπτης καλείται να εγκαταστήσει ένα “root certificate” αντιγράφοντας ένα PowerShell script στο Windows Clipboard. Έπειτα, πρέπει να το εκτελέσει στο Windows PowerShell (Admin) console.
Όταν εκτελεστεί το PowerShell script, θα κάνει διάφορους ελέγχους για να επιβεβαιώσει ότι η συσκευή είναι έγκυρος στόχος. Έπειτα, θα πραγματοποιήσει λήψη πρόσθετων payloads.
Η δεύτερη αλυσίδα επίθεσης χρησιμοποιεί injection σε παραβιασμένους ιστότοπους που δημιουργεί ένα iframe για να επικαλύψει ένα άλλο ψεύτικο σφάλμα του Google Chrome. Οι χρήστες λαμβάνουν οδηγίες να ανοίξουν το “Windows PowerShell (Admin)” και να επικολλήσουν τον παρεχόμενο κώδικα, οδηγώντας στις ίδιες μολύνσεις που αναφέρονται παραπάνω.
Η τρίτη αλυσίδα μόλυνσης βασίζεται σε email που χρησιμοποιεί συνημμένα HTML που μοιάζουν με έγγραφα του Microsoft Word. Προτρέπει τους χρήστες να εγκαταστήσουν την επέκταση “Word Online” για να προβάλουν σωστά το έγγραφο.
Το μήνυμα σφάλματος προσφέρει τις επιλογές “How to fix” και “Auto-fix”, με το “How to fix” να αντιγράφει μια εντολή PowerShell στο πρόχειρο, δίνοντας εντολή στον χρήστη να την επικολλήσει στο PowerShell.
Το Auto-fix χρησιμοποιεί search-ms protocol για να εμφανίσει ένα αρχείο “fix.msi” ή “fix.vbs” που φιλοξενείται από το WebDAV σε ένα κοινόχρηστο στοιχείο αρχείου που ελέγχεται από απομακρυσμένο εισβολέα.
Σε αυτήν την περίπτωση, οι εντολές PowerShell πραγματοποιούν λήψη και εκτέλεση είτε ενός αρχείου MSI είτε ενός VBS script, οδηγώντας σε μολύνσεις από το Matanbuchus ή το DarkGate, αντίστοιχα.
Σε όλες τις περιπτώσεις, οι hackers εκμεταλλεύονται την άγνοια των χρηστών σχετικά με τους κινδύνους της εκτέλεσης εντολών PowerShell στα συστήματά τους.
Δείτε επίσης: Διανομή του SSLoad malware μέσω του PhantomLoader loader
Αυτή η συγκεκριμένη καμπάνια υπογραμμίζει τη σημασία του να είστε προσεκτικοί όταν αντιμετωπίζετε απροσδόκητα σφάλματα ή μηνύματα στον υπολογιστή σας. Είναι σημαντικό να επαληθεύσετε την πηγή του σφάλματος πριν προβείτε σε οποιαδήποτε ενέργεια, ειδικά εάν περιλαμβάνει τη λήψη ή την εκτέλεση ενός προγράμματος.
Η νέα εκστρατεία διανομής malware χρησιμεύει ως υπενθύμιση ότι οι απειλές στον κυβερνοχώρο εξελίσσονται συνεχώς και γίνονται πιο περίπλοκες. Ως χρήστες, είναι σημαντικό να παραμείνουμε ενημερωμένοι και να λαμβάνουμε τις απαραίτητες προφυλάξεις για να προστατευτούμε. Αν είμαστε προσεκτικοί, διατηρώντας το λογισμικό ενημερωμένο, αποφεύγοντας το κλικ σε ύποπτα μηνύματα και χρησιμοποιώντας αξιόπιστα μέτρα κυβερνοασφάλειας, μπορούμε να μειώσουμε σημαντικά τον κίνδυνο να στοχοποιηθούμε από τακτικές κοινωνικής μηχανικής όπως αυτή.
Πηγή: www.bleepingcomputer.com
