O nouă campanie ClickFix îi atrage pe utilizatori către pagini frauduloase de conferințe Google Meet care afișează erori de conectivitate false și distribuie malware pentru sistemele de operare Windows și macOS.
ClickFix este o tactică de inginerie socială care a apărut în mai, raportată inițial de compania de securitate cibernetică Proofpoint, de la un actor de amenințare (TA571) care a folosit mesaje care impersonau erori pentru Google Chrome, Microsoft Word și OneDrive.
Erorile îi determinau pe victimă să copieze în clipboard un fragment de cod PowerShell care ar fi rezolvat problemele prin rularea acestuia în Command Prompt din Windows.
Astfel, victimele infectau sistemele cu diverse malware precum DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, un hijacker de clipboard și Lumma Stealer.
În iulie, McAfee a raportat că campaniile ClickFix deveneau mai frecvente, în special în Statele Unite și Japonia.
Un nou raport de la Sekoia, un furnizor de cybersecurity SaaS, indică faptul că campaniile ClickFix au evoluat semnificativ și acum folosesc o capcană Google Meet, emailuri de pescuit țintind firmele din domeniul transporturilor și logisticii, pagini false de Facebook și probleme GitHub înșelătoare.
Conform companiei franceze de securitate cibernetică, unele dintre campaniile mai recente sunt conduse de două grupuri de amenințare, Slavic Nation Empire (SNE) și Scamquerteo, considerate a fi sub-echipe ale bandelor de escrocherie cu criptomonede Marko Polo și CryptoLove.
Actorii de amenințare folosesc pagini false pentru Google Meet, serviciul de comunicare video din cadrul suitei Google Workspace, popular în medii corporative pentru întâlniri virtuale, webinarii și colaborare online.
Un atacator ar trimite victimei emailuri care par legitime, asemănătoare cu invitațiile reale la Google Meet legate de o întâlnire/conferință de lucru sau alt eveniment important.
URL-urile seamănă strâns cu linkurile reale de Google Meet:
Odată ce victima ajunge pe pagina falsă, primește un mesaj pop-up care informează despre o problemă tehnică, cum ar fi o problemă cu microfonul sau căștile.
Dacă apasă pe „Încercați să reparați”, începe un proces standard de infectare ClickFix în care codul PowerShell copiat de site și lipit în promptul Windows infectează calculatorul cu malware, preluând payload-ul de pe domeniul ‘googiedrivers[.]com’.
În final, payload-urile sunt malware pentru furt de informații Stealc sau Rhadamanthys pe Windows. Pe un computer macOS, actorul de amenințare plasează AMOS Stealer sub formă de fișier .DMG (imagine de disc Apple) numit ‘Launcher_v194’.
Sekoia a identificat mai multe grupuri de distribuție de malware în afara Google Meet, inclusiv Zoom, cititoare de PDF-uri, jocuri video false (Lunacy, Calipso, Battleforge, Ragon), browsere și proiecte web3 (NGT Studio) și aplicații de mesagerie (Nortex).
Malware-ul pentru furt de informații ocolește noile apărări împotriva furtului de cookie-uri de la Chrome
Malware-ul blochează browserul în modul kiosk pentru a fura credențialele Google
Un ucrainean recunoaște că operează malware-ul Raccoon Stealer
O operațiune globală de malware pentru furt de informații vizează utilizatorii de criptomonede, jucători
Peste 200 de aplicații malitioase pe Google Play descărcate de milioane de ori
Leave a Reply