Microsoft, kimlik bilgisi çalma kötü amaçlı yazılımları sunmak için ClickFix adlı giderek daha popüler bir sosyal mühendislik tekniği kullanarak çevrimiçi seyahat acentesi Booking.com’u taklit ederek misafirperverlik sektörünü hedefleyen devam eden bir kimlik avı kampanyasına ışık tuttu.
Teknoloji devi, faaliyetin Aralık 2024’te başladığını ve finansal sahtekarlık ve hırsızlık yapmak amacıyla çalıştığını söyledi. Makaranın altındaki kampanyayı izliyor Storm-1865.
“Bu kimlik avı saldırısı özellikle Kuzey Amerika, Okyanusya, Güney ve Güneydoğu Asya ve Kuzey, Güney, Doğu ve Batı Avrupa’daki misafirperverlik organizasyonlarındaki bireyleri, Booking.com ile çalışması, ajanstan geldiği iddia edilen sahte e -postaları göndererek hedefliyor.” Dedi.
ClickFix tekniği son aylarda yaygınlaştı, çünkü kullanıcıları enfeksiyon sürecini etkinleştiren aldatıcı talimatları kopyalayarak, yapıştırarak ve başlatarak sözde (yani yok) bir hatayı düzeltme kisvesi altında kötü amaçlı yazılım yürütmeye kandırıyor. İlk olarak Ekim 2023’te vahşi doğada tespit edildi.
Saldırı dizisi, Storm-1865’in hedeflenen bir kişiye, Booking.com’da iddia edilen bir konuk tarafından bırakılan olumsuz bir inceleme hakkında kötü niyetli bir e-posta göndermesiyle başlar ve onlardan “geri bildirimlerini” istemektedir. Mesaj ayrıca, alıcıları görünüşte rezervasyon sitesine yönlendiren bir bağlantı veya bir PDF eki yerleştirir.
Bununla birlikte, gerçekte, üzerine tıklamak, kurbanı “meşru bir rezervasyon.com sayfasını taklit etmek için tasarlanmış ustaca görünür bir arka planda” kaplanmış sahte bir captcha doğrulama sayfasına götürür. Bunu yaparken, fikir yanlış bir güvenlik duygusu vermek ve başarılı bir uzlaşma olasılığını artırmaktır.
Microsoft, “Sahte captcha, web sayfasının kötü niyetli yükü indirmek için ClickFix sosyal mühendislik tekniğini kullandığı yerdir.” Dedi. “Bu teknik, kullanıcıya bir Windows Run penceresini açmak için bir klavye kısayolu kullanmasını, ardından yapıştırıp web sayfasının panoya eklediği bir komutu başlatmasını söyler.”
Komuta, kısaca, Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot ve Netsupport faresi gibi çeşitli emtia kötü amaçlı yazılım ailelerini içeren bir sonraki aşama yükü bırakmak için meşru MSHTA.EXE ikili kullanıyor.
Redmond, daha önce Storm-1865’i, hileli ödeme web sayfalarına yol açan kimlik avı mesajlarıyla e-ticaret platformları kullanan alıcıları hedeflediğini söyledi. Bu nedenle, ClickFix tekniğinin dahil edilmesi, kimlik avı ve kötü amaçlı yazılımlara karşı geleneksel güvenlik önlemlerini aşmak için tasarlanmış taktik bir evrimi göstermektedir.
“Microsoft’un Storm-1865 olarak izlediği tehdit oyuncusu, kimlik avı kampanyalarını yürüten bir faaliyet kümesini kapsar, ödeme veri hırsızlığı ve hileli suçlamalara yol açar.”
“Bu kampanyalar en azından 2023’ün başlarından beri artan hacim ile devam ediyor ve çevrimiçi seyahat acenteleri ve e-ticaret platformları gibi satıcı platformları ve Gmail veya Icloud Mail gibi e-posta hizmetleri aracılığıyla gönderilen mesajları içeriyor.”
Storm-1865, ClickFix’i kötü amaçlı yazılım dağıtımı için bir vektör olarak benimseyen birçok kampanyadan sadece birini temsil eder. Bu tekniğin etkinliği, APT28 ve Muddywater gibi Rus ve İran ulus devlet gruplarının bile kurbanlarını cezbetmek için benimsedikleri.
Grup-IB, bugün yayınlanan bağımsız bir raporda, “Özellikle, yöntem insan davranışından yararlanıyor: algılanan bir soruna makul bir ‘çözüm’ sunarak, saldırganlar kullanıcıya yükleme yükünü değiştirerek birçok otomatik savunmayı etkili bir şekilde kaldırıyor.” Dedi.
Singapur siber güvenlik şirketi tarafından belgelenen bu tür bir kampanya, daha sonra Lumma Stealer için bir kanal görevi gören Smokesaber adlı bir indiriciyi bırakmak için ClickFix’i kullanmayı içerir. Diğer kampanyalar, ClickFix sayfalarına bağlantıları olan kötü niyetli, SEO zehirlenmesi, GitHub sorunları ve spam forumları veya sosyal medya sitelerini kullandı.
Grup-IB, “ClickFix tekniği, rakip sosyal mühendislik stratejilerinde bir evrimi işaret ediyor, kullanıcı güvenini ve kötü amaçlı yazılım dağıtımı için tarayıcı işlevselliğini artırıyor.” Dedi. Diyerek şöyle devam etti: “Bu yöntemin hem siber suçlular hem de APT grupları tarafından hızlı bir şekilde benimsenmesi etkinliğini ve düşük teknik engelini vurguluyor.”
Belgelenen diğer ClickFix kampanyalarından bazıları aşağıda listelenmiştir –
Lumma Stealer’ın çeşitli enfeksiyon mekanizmaları, SmartLoader olarak adlandırılan bir yükleyici aracılığıyla Stealer’ı sunmak için yapay zeka (AI) -Content içeren Bogus Github depolarını kullanan başka bir kampanyanın keşfedilmesiyle daha da örneklendirilir.
Trend Micro, bu haftanın başlarında yayınlanan bir analizde, “Bu kötü niyetli depolar, oyun hileleri, çatlak yazılımlar ve kripto para birimi yardımcı programları da dahil olmak üzere kötü olmayan araçlar olarak gizleniyor.” Dedi. “Kampanya, kurbanları özgür veya yasadışı yetkisiz işlevsellik vaatleriyle ikna ederek zip dosyalarını (örneğin, Release.zip, Software.zip) indirmelerini istedi.”
Operasyon, tehdit aktörlerinin kötü amaçlı yazılım yayılımı için GitHub gibi popüler platformlarla ilişkili güveni nasıl kötüye kullandığını vurgulamaktadır.
Bulgular, Trustwave, HIVE0145 olarak adlandırılan tek bir tehdit oyuncusu tarafından çalıştırıldığı değerlendirilen Strelastealer adlı başka bir çalma kötü amaçlı yazılımının güncellenmiş bir sürümünü dağıtmak için fatura ile ilgili tuzakları kullanan bir e-posta kimlik avı kampanyası olarak geliyor.
Şirket, “Strelastealers örnekleri, analizini karmaşıklaştırmak için özel çok katmanlı şaşkınlık ve kod akışı düzleşmesini içerir.” Dedi. Diyerek şöyle devam etti: “Tehdit oyuncusunun potansiyel olarak ‘yıldız yükleyici’, özellikle Strelastealer ile kullanılacak özel bir krykor geliştirdiği bildirildi.”