Данный вид атак, относящийся к семейству ClickFix, вероятно, получит массовое распространение.
Специалисты обнаружили новую технику социальной инженерии, применяющую «контрабандную» передачу браузерного кэша для скрытной загрузки вредоносных компонентов в устройство пользователя и обхода антивирусных решений.
Многоэтапную атаку отличает исключительная хитрость, при этом её справедливо классифицируют как вариацию давно известного метода ClickFix.
Новый подход задействует диалоговые окна Windows Explorer для незаметного запуска скриптов PowerShell: жертву вводят в заблуждение, заставляя скопировать специально замаскированный код.
Если описать детали, то пользователю, оказавшемуся на взломанном ресурсе, показывается окно с заголовком Fortinet VPN client compliance check (проверка соответствия клиента Fortinet VPN); разумеется, это может не иметь никакого отношения к реальному наличию такого клиента в сети.
В данном окне приводятся указания скопировать ссылку из текстового поля, вставить её в адресную строку Проводника Windows и нажать Enter.
Ссылка имеет формат \PublicSupportVPNFortinclientCompliance.exe: предполагается, что это программа, расположенная на корпоративном сервере в каталоге технической поддержки.
Однако фактически ссылка значительно длиннее: перед \Public находится 139 пробелов, а перед ними — вредоносный PowerShell-скрипт, который выполняется через conhost.exe в фоновом режиме и остаётся невидимым для пользователя.
Команда PowerShell сначала создаёт папку %LOCALAPPDATA%FortiClientcompliance, после чего копирует файлы кэша Chrome из %LOCALAPPDATA%GoogleChromeUser DataDefaultCacheCache_Data в созданный каталог.
Затем скрипт анализирует каждый файл кэша, применяя регулярные выражения для поиска содержимого, расположенного между последовательностями символов «bTgQcBpv» и «mX6o0lBw». На самом деле за этими метками скрывается фальшивое изображение, чьё содержимое переименовывается в ComplianceChecker.zip и распаковывается.
Далее скрипт запускает исполняемый файл FortiClientComplianceChecker.exe из распакованного архива для выполнения вредоносных инструкций.
Что касается попадания вредоносного объекта в браузерный кэш, здесь используется метод «кэш-контрабанды»: когда потенциальная жертва заходит на фишинговый сайт, там активируется JavaScript-скрипт, который предписывает браузеру загрузить и сохранить в кэше нужный файл, маскирующийся под изображение (image/jpeg). В действительности это архив формата .ZIP.
Это позволяет обойти системы обнаружения: используется штатный браузерный механизм, который тем не менее способствует проникновению вредоносного кода в систему жертвы.
«Этот метод можно охарактеризовать как невероятно изобретательный — и при этом действенный. Однако защититься от серьёзных последствий относительно несложно: достаточно ни в коем случае не переносить текст из окон веб-страниц в диалоговые окна операционной системы, особенно те, что связаны с исполнением команд, — поясняет Никита Павлов, специалист по кибербезопасности фирмы SEQ. — Распространение подобных атак представляется неизбежным, поэтому корпоративным отделам информационной безопасности уже сейчас следует провести инструктаж сотрудников».
Портал Bleeping Computer сообщает — со ссылкой на аналитиков Palo Alto Networks — о выявлении вредоносного инструмента IUAM ClickFix Generator, который даёт возможность автоматизировать формирование ClickFix-приманок и их модификаций.
Данный конструктор позволяет выбирать оформление фальшивых страниц «проверки», их заголовок, содержание, цветовую палитру и прочее, а также настраивать вредоносное содержимое, которое предполагаемая жертва, по замыслу, должна скопировать из браузера.
Генератор также умеет распознавать операционную систему, поэтому пользователям Windows демонстрируется код PowerShell, а владельцам Mac — команды терминала, закодированные в формате Base64.
Несмотря на то, что каждая приманка настраивается под конкретную кампанию злоумышленников, схема работы остаётся одинаковой: показывается поддельная CAPTCHA Cloudflare, предлагающая пользователям выполнить скрытую команду в командной строке, окне «Выполнить» или терминале.
В ходе кампании, отслеживаемой подразделением 42, атаки с элементами социальной инженерии использовались для заражения устройств шпионскими программами DeerStealer (Windows) и Odyssey (Mac), а также другим пока не идентифицированным вредоносным ПО для Windows.
