Securonix upozorava na prikrivenu i sofisticiranu ClickFix kampanju koja cilja ugostiteljski sektor s ciljem distribucije trojanaca za udaljeni pristup (RAT).
Napadi počinju phishing email porukom koja sadrži lažno otkazivanje rezervacije sa Booking.com, uz link ka lažnoj stranici koja prikazuje falsifikovani CAPTCHA izazov.
Nakon što žrtva klikne na phishing link i otvori lažnu stranicu, prikazuje joj se obmanjujuća CAPTCHA-stil greška u pregledaču koja vodi ka lažnoj animaciji plavog ekrana smrti (BSOD).
Phishing email poruke korišćene u kampanji, nazvanoj PHALT#BLYX, sadrže detalje o naplati sobe u eurima, što ukazuje da hakeri koji stoje iza napada, vjerovatno ruskog porijekla, aktivno ciljaju organizacije u Evropi, navodi Securonix.
Kako bi osigurali da žrtve kliknu na maliciozne linkove u tijelu poruke, napadači su uključili informaciju o naplati ili povratu novca u iznosu većem od 1.000 eura (oko 1.170 dolara), uz zahtjev za hitnu pomoć.
Kada žrtva otvori link, prikazuje se greška u pregledaču i pojavljuje se zahtjev da klikne na dugme „reload page“, čime se aktivira ClickFix napad: prozor pregledača prelazi u fullscreen režim i prikazuje se lažni BSOD ekran.
Lažni ekran zatim daje instrukcije žrtvi da pritisne određene kombinacije tastera, što dovodi do izvršavanja PowerShell komandi koje preuzimaju maliciozni MSBuild project fajl.
Lanac infekcije se nastavlja tako što MSBuild kompajlira i izvršava payload iz project fajla, čime se isključuje Windows Defender, uspostavlja perzistencija i pokreće prilagođena verzija DCRat RAT-a.
Prilikom izvršavanja, payload provjerava privilegije trenutnog korisnika i, ukoliko administratorske privilegije nisu prisutne, pokušava da se ponovo pokrene sa povišenim privilegijama koristeći User Account Control (UAC) spam tehniku.
Konačni payload, .NET izvršni fajl, izgleda kao varijanta DCRat-a, poznatog forka AscynRAT-a, dizajniranog sa visokim stepenom otpornosti i operativne bezbjednosti.
„Sposobnost malvera da nasumično mijenja tačke povezivanja i potencijalno koristi dead-drop resolvere poput Pastebin-a ukazuje na botnet infrastrukturu dizajniranu da preživi gašenje pojedinačnih servera i zadrži povezanost u neprijateljskim okruženjima“, navodi Securonix.
Izvor: SecurityWeek
