CloudSek’in Triad ekibi, Epsilon kırmızı fidye yazılımlarına bağlı ClickFix temalı kötü amaçlı yazılımları dağıtan aktif bir geliştirme sitesi ortaya çıkardı.
Bu varyant, kurbanları aynı alandaki ikincil bir sayfaya yönlendirerek geleneksel pano tabanlı komut enjeksiyon taktiklerinden sapmaktadır, burada kötü niyetli kabuk komutlarının yük teslimatını kolaylaştırmak için ActiveXObject (“WScript.Shell”) aracılığıyla sessizce yürütülür.
Komut dosyası, gizli yürütme için Windows komut kabuğunu (cmd.exe) kullanıcının ana dizinine “CD /D %Userprofile %” ile değiştirir, ardından saldırgan kontrollü bir IP’den (155.94.155.227:2269) bir ikili indirmek için sessiz bir curl komutu gelir ve daha sonra parametre ile çalıştırılacak olan A.Exe olarak kaydeder.
Bu, MD5 Hash 98107C01ECD8B7802582D404E007E493 ile tanımlanan Epsilon kırmızı fidye yazılımlarının dağıtımında doruğa ulaşır.
Gelişmiş ClickFix Kötü Yazılım Kampanyası
Aldatmayı geliştirmek için, komut dosyası “Doğrulama kodunuzu yankı ile sahte bir doğrulama mesajı görüntüler: PC-19FJ5E9I-CJE8I3E4 && duraklama”, komut istemini taklit etmek için kasıtlı bir yazım hatası, kullanıcı etkileşimi için açık tutmak ve sosyal mühendislik cerresini güçlendirmek.
İlişkili altyapı yoluyla döndürmek, anlaşmazlık captcha botunun (captcha.bot) sahte versiyonları, tekme, seğirme, rumble ve sadecefans gibi akış platformları da dahil olmak üzere daha geniş bir taklit ekosistemini ortaya çıkardı, hepsi tıklama mekanizmaları yoluyla pencere yükleri sunmak için tasarlanmıştır.
Bu siteler, tanıdık hizmetlere kullanıcı güveninden yararlanır, açık etkileşim olmadan JavaScript tabanlı komut yürütmeyi tetikleyen doğrulama düğmelerine tıklamalar, başlangıç erişim, T1059.003 (Windows Komut Kabuğu) ve T1059.005 (Javascript/VBScript) gibi t1059.005 (Javascript/VBScript) ve yürütme için kullanıcı (Javascript/VBScript) ve For Exec (Javascript (Javascript) ve Javascript teknikleri ile hizalanır. manipülasyon.
Savunma kaçırma, T1027 (gizlenmiş dosyalar veya bilgiler) ile sessiz indirmeler ve iyi huylu temalı arayüzler aracılığıyla T1036 (maskelenen) ile elde edilirken, beklenen kalıcılık T1053.005’i (zamanlanmış görev/iş) içerir. Komut ve kontrol, HTTP kullanılarak T1071.001 (Web Protokolleri) üzerinde gerçekleşir ve fidye yazılımı aşamasında T1486’ya (darbe için şifrelenmiş veriler) yol açar.
Azaltma stratejileri
İlk olarak 2021’de gözlemlenen Epsilon Red’e atfedilen bu fidye yazılımı, küçük gramer iyileştirmeleri içeren ancak daha derin taktik veya altyapı çakışmalarına sahip olan fidye notu stilinde Revil’den gevşek ilham çekiyor.
Kampanyanın karmaşıklığı, doğrudan tarayıcı oturumlarından uzaktan kod yürütme için ActiveX’i istismar etmek, geleneksel indirme korumalarını atlamak ve yanal hareket ve tam şifrelemeden önce gelen uç nokta uzlaşmasını sağlamaktır.
Bir CloudSek raporuna göre, marka takviyesi kullanıcı şüphesini önemli ölçüde azaltarak enfeksiyon oranlarını artırırken, temalı teslimat sayfalarının kalıcı olarak yeniden kullanılması iyi planlanmış, uzun vadeli bir işlemi göstermektedir.
Ek göstergeler, bir Quasar Rat varyantı (MD5A40781BC8D5EAA) ile birlikte normal ClickFix teslimatı için TWTICH.CC barındırma .hta dosyaları ve capchabot.cc gibi alanları içerir.
Azaltmak için kuruluşlar, eski yürütme vektörlerini engellemek için grup politikaları aracılığıyla ActiveX ve Windows komut dosyasını devre dışı bırakmalıdır.
ClickFix kampanyalarından gelecekteki saldırı göstergeleri de dahil olmak üzere IP ve alan kara listesi için tehdit beslemelerini entegre etmek çok önemlidir.
Gizli yürütmeleri, sessiz curl indirmelerini ve anormal tarayıcı hazırlanmış işlemleri izlemek için uç nokta algılama ve yanıt kurallarını dağıtın.
Son olarak, bu sosyal olarak tasarlanmış tehditlere karşı kullanıcı esnekliği oluşturmak için taklit edilmemiş hizmetleri simüle eden güvenlik bilinci eğitimi alın.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Değer | Notalar |
|---|---|---|
| MD5 | 98107c01ecd8b7802582d404e007e493 | Epsilon kırmızı fidye yazılımı |
| İhtisas | twtich[.]CC | ClickFix Teslimat [.hta] |
| IP: Port | 155.94.155[.]227: 2269 | Komuta ve Kontrol |
| MD5 | 2db32339fa151276d5a40781bc8d5eaa | Quasar Rat Kötü Yazılım |
| İhtisas | capchabot[.]CC | ClickFix Teslimat [regular] |
| IP: Port | 213.209.150[.]188: 8112 | Komuta ve Kontrol |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!