Yeni bir kötü amaçlı yazılım dağıtım kampanyası, kullanıcıları kötü amaçlı yazılım yükleyen kötü amaçlı PowerShell “düzeltmelerini” çalıştırmaya kandırmak için sahte Google Chrome, Word ve OneDrive hatalarını kullanıyor.
Yeni kampanyanın, ClickFix adlı yeni bir saldırı kümesi olan ClearFake’in arkasındakiler ve büyük miktarda e-posta göndererek kötü amaçlı yazılım ve fidye yazılımı bulaşmalarına yol açan bir spam dağıtıcısı olarak çalıştığı bilinen TA571 tehdit aktörü dahil olmak üzere çok sayıda tehdit aktörü tarafından kullanıldığı gözlemlendi. .
Önceki ClearFake saldırıları, ziyaretçileri kötü amaçlı yazılım yükleyen sahte bir tarayıcı güncellemesi yüklemeye yönlendiren web sitesi yer paylaşımlarını kullanıyordu.
Tehdit aktörleri, yeni saldırılarda HTML eklerinde ve güvenliği ihlal edilmiş web sitelerinde de JavaScript kullanıyor. Ancak artık kaplamalar sahte Google Chrome, Microsoft Word ve OneDrive hatalarını gösteriyor.
Bu hatalar, ziyaretçinin bir PowerShell “düzeltmesini” panoya kopyalamak için bir düğmeyi tıklatmasını ve ardından bunu Çalıştır: iletişim kutusuna veya PowerShell istemine yapıştırıp çalıştırmasını ister.
Yeni bir araştırmacı şu uyarıda bulunuyor: “Saldırı zincirinin başarılı olması için önemli miktarda kullanıcı etkileşimi gerekmesine rağmen, sosyal mühendislik, gerçek bir sorun ve çözümü aynı anda sunacak kadar akıllıdır; bu da kullanıcıyı riski dikkate almadan harekete geçmeye teşvik edebilir.” ProofPoint’ten rapor.
Proofpoint tarafından görülen yükler arasında DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, bir pano korsanı ve Lumma Stealer yer alıyor.
PowerShell “düzeltmesi” kötü amaçlı yazılımlara yol açıyor
Proofpoint analistleri, esas olarak başlangıç aşamalarında farklılık gösteren üç saldırı zinciri gözlemledi; yalnızca ilki, yüksek güvenle TA571’e atfedilmedi.
ClearFake’in arkasındaki tehdit aktörleriyle ilişkili bu ilk durumda, kullanıcılar, Binance’in Akıllı Zincir sözleşmeleri aracılığıyla blockchain üzerinde barındırılan kötü amaçlı bir komut dosyasını yükleyen, güvenliği ihlal edilmiş bir web sitesini ziyaret ediyor.
Bu komut dosyası bazı kontroller gerçekleştirir ve web sayfasının görüntülenmesinde bir sorun olduğunu belirten sahte bir Google Chrome uyarısı görüntüler. İletişim kutusu daha sonra ziyaretçiden bir PowerShell betiğini Windows Panosuna kopyalayıp bir Windows PowerShell (Yönetici) konsolunda çalıştırarak bir “kök sertifika” yüklemesini ister.
Kaynak: Kanıt noktası
PowerShell betiği çalıştırıldığında cihazın geçerli bir hedef olduğunu doğrulamak için çeşitli adımlar gerçekleştirecek ve ardından aşağıda belirtildiği gibi ek yükler indirecektir.
- DNS önbelleğini temizler.
- Pano içeriğini kaldırır.
- Sahte bir mesaj görüntüler.
- Bir bilgi hırsızını indirmeden önce VM karşıtı kontroller gerçekleştiren başka bir uzak PowerShell betiğini indirir.
Kaynak: Kanıt noktası
İkinci saldırı zinciri ‘ClickFix’ kampanyasıyla ilişkili ve başka bir sahte Google Chrome hatasını kaplamak için bir iframe oluşturan, güvenliği ihlal edilmiş web sitelerine bir enjeksiyon kullanıyor.
Kullanıcılara “Windows PowerShell (Yönetici)” uygulamasını açmaları ve sağlanan kodu yapıştırmaları talimatı verilir, bu da yukarıda bahsedilen aynı enfeksiyonlara yol açar.
Son olarak, Microsoft Word belgelerine benzeyen HTML eklerini kullanan e-posta tabanlı bir enfeksiyon zinciri, belgeyi doğru şekilde görüntülemek için kullanıcılardan “Word Online” uzantısını yüklemelerini ister.
Hata mesajı, base64 kodlu bir PowerShell komutunu panoya kopyalayarak kullanıcıya bunu PowerShell’e yapıştırması talimatını veren “Nasıl düzeltilir” ve “Nasıl düzeltilir” ve “Otomatik düzeltme” seçeneklerini sunar.
Otomatik düzeltme”, uzak saldırgan tarafından kontrol edilen bir dosya paylaşımında WebDAV tarafından barındırılan “fix.msi” veya “fix.vbs” dosyasını görüntülemek için search-ms protokolünü kullanır.
Kaynak: Kanıt noktası
Bu durumda, PowerShell komutları bir MSI dosyasını veya bir VBS betiğini indirip çalıştırır ve bu da sırasıyla Matanbuchus veya DarkGate enfeksiyonlarına yol açar.
Her durumda tehdit aktörleri, hedeflerinin sistemlerinde PowerShell komutlarını çalıştırmanın riskleri konusundaki farkındalık eksikliğinden yararlanıyor.
Ayrıca Windows’un yapıştırılan kod tarafından başlatılan kötü amaçlı eylemleri tespit edip engelleyememesinden de yararlanırlar.
Farklı saldırı zincirleri, TA571’in etkinliği artırmak ve daha fazla sayıda sistemi tehlikeye atacak daha fazla enfeksiyon yolu bulmak için aktif olarak birden fazla yöntemle deneyler yaptığını gösteriyor.