ClickFix napadi su se razvili i sada uključuju video uputstva koja vode žrtve kroz proces samoinficiranja, tajmer koji vrši pritisak na metu da preduzme rizične akcije i automatsko otkrivanje operativnog sistema kako bi bile prikazane odgovarajuće komande.
U tipičnom ClickFix napadu, haker se oslanja na socijalni inženjering kako bi prevario korisnike da nalijepe i izvrše kod ili komande sa maliciozne stranice.
Mamci koji se koriste mogu varirati od provjere identiteta do rješenja problema sa softverom. Cilj je navesti metu da izvrši malver koji preuzme i pokrene payload, obično stealer podataka.
Većinom su ovi napadi ranije nudili tekstualna uputstva na web stranici, ali novije verzije se oslanjaju na ugrađeni video kako bi napad djelovao manje sumnjivo.
Istraživači iz Push Security-a primijetili su ovu promjenu u nedavnim ClickFix kampanjama, gdje lažni Cloudflare CAPTCHA izazov detektuje operativni sistem žrtve i učitava video tutorijal o tome kako nalijepiti i pokrenuti maliciozne komande.
Putem JavaScripta, haker može sakriti komande i automatski ih kopirati u međuspremnik korisnika, čime smanjuje šanse za ljudsku grešku.
U istom prozoru, izazov je sadržao jednogodišnji odbrojivač od jedne minute koji prisiljava metu da brzo reaguje i ostavlja malo vremena za provjeru autentičnosti ili bezbjednost procesa provjere.
Dodatnoj obmani doprinosi i brojač „korisnika verificiranih u posljednjem satu“, što prozor čini vjerodostojnijim kao dio legitimnog Cloudflare alata za provjeru botova.
Iako smo ranije vidjeli ClickFix napade protiv svih glavnih operativnih sistema, uključujući macOS i Linux, automatsko otkrivanje i prilagođavanje uputstava specifičnim sistemima predstavlja novi razvoj.
Push Security navodi da se ove naprednije ClickFix web stranice uglavnom promovišu putem malvertajzinga na Google pretrazi.
Hakeri ili iskorištavaju poznate propuste u zastarjelim WordPress pluginovima kako bi kompromitovali legitimne sajtove i ubacili svoj maliciozni JavaScript na stranice ili kreiraju lažne sajtove i koriste SEO poisoning taktike da ih podignu više u rezultatima pretrage.
Što se tiče payloadova koji se isporučuju u tim napadima, Push istraživači su primijetili da zavise od operativnog sistema, ali uključuju MSHTA izvršne fajlove na Windowsu, PowerShell skripte i razne druge legitimne binarne programe prisutne u sistemu.
Istraživači spekulišu da bi budući ClickFix napadi mogli raditi potpuno u pregledaču, izbjegavajući EDR rješenja.
Kako se ClickFix razvija i poprima ubedljivije i obmanjujuće oblike, korisnici treba da zapamte da izvršavanje koda u terminalu nikada ne može biti dio online provjere identiteta i da se nijedna kopirana komanda ne smije izvršiti ukoliko korisnik potpuno ne razumije šta ona radi.
Izvor: BleepingComputer