Een combinatie van propagatiemethoden, verhalende verfijning en ontwijkingstechnieken maakte de social engineering -tactiek bekend als bekend als Clickfix Volgens nieuwe bevindingen van Guardio Labs het afgelopen jaar af te nemen.
“Als een real-world virusvariant, deze nieuwe ‘Clickfix‘Strain was snel uiteengezet en heeft uiteindelijk de beruchte nepbrowserupdate -zwendel weggevaagd die het internet vorig jaar plaagde,’ zei beveiligingsonderzoeker Shaked Chen in een rapport dat werd gedeeld met het Hacker News.
“Het deed dit door de behoefte aan bestandsdownloads te verwijderen, slimmere social engineering-tactieken te gebruiken en zich door de vertrouwde infrastructuur te verspreiden. Het resultaat-een golf van infecties variërend van massale drive-by aanvallen tot hyper gerichte speer-phishing lokken.”
ClickFix is de naam die wordt gegeven aan een social engineering-tactiek waar potentiële doelen worden bedrogen om hun eigen machines te infecteren onder het mom van het oplossen van een niet-bestaand probleem of een captcha-verificatie. Het werd eerst in het wild gedetecteerd begin 2024.
In deze aanvallen worden infectievectoren zo divers als phishing-e-mails, drive-by-downloads, malvertising en zoekmachineoptimalisatie (SEO) -vergiftiging gebruikt om gebruikers te sturen om pagina’s te vervalsen die de foutmeldingen weergeven.
Deze berichten hebben één doel: de slachtoffers begeleiden om een reeks stappen te volgen die ervoor zorgen dat een heimelijk gekopieerde kwaadaardige opdracht naar hun klembord wordt uitgevoerd wanneer ze worden geplakt in het dialoogvenster Windows Run of de terminal -app, in het geval van Apple MacOS.
Het snode commando activeert op zijn beurt de uitvoering van een multi-fasen volgorde die resulteert in de implementatie van verschillende soorten malware, zoals stealers, trojans op afstand en laders, die de flexibiliteit van de dreiging onderstrepen.
De tactiek is zo effectief en krachtig geworden dat het heeft geleid tot wat Guardio een captchageddon noemt, waarbij zowel cybercriminele als natiestaatacteurs het in tientallen campagnes in een korte tijdspanne hanteren.
ClickFix is een meer heimelijke mutatie van Clearfake, waarbij gecompromitteerde WordPress-sites worden gebruikt om nepbrowser-update-pop-ups te bedienen die op hun beurt Stealer-malware leveren. Clearfake ging vervolgens vervolgens geavanceerde ontwijkingstactieken zoals Etherhiding op om de payload op de volgende fase te verbergen met behulp van Binance’s Smart Chain (BSC) -contracten.
Guardio zei dat de evolutie van ClickFix en het succes ervan het resultaat is van constante verfijning in termen van propagatievectoren, de diversificatie van de kunstaas en de berichten en de verschillende methoden die worden gebruikt om de detectiecurve voor te lopen, zozeer dat het uiteindelijk Clearfake heeft vervangen.
“Vroege aanwijzingen waren generiek, maar ze werden al snel overtuigender en voegden urgentie of achterdocht toe,” zei Chen. “Deze tweaks verhoogden de nalevingspercentages door de psychologische druk van de basis te benutten.”
Enkele van de opmerkelijke manieren waarop de aanvalsbenadering is aangepast, zijn het misbruik van Google Scripts om de nep-captcha-stromen te hosten, waardoor het vertrouwen is geassocieerd met het domein van Google, en de payload in te bedden binnen legitiem ogende bestandsbronnen zoals Socket.io.min.js.
“Deze huiveringwekkende lijst van technieken-obfuscatie, dynamische laden, legitiem ogende bestanden, platformonafhankelijke afhandeling, derdenpayload levering en misbruik van vertrouwde hosts zoals Google-toont aan hoe bedreigingsactoren voortdurend zijn aangepast om detectie te voorkomen,” voegde Chen toe.
“Het is een grimmige herinnering dat deze aanvallers niet alleen hun phishing -kunstaas of social engineering -tactieken verfijnen, maar zwaar investeren in technische methoden om ervoor te zorgen dat hun aanvallen effectief en veerkrachtig zijn tegen beveiligingsmaatregelen.”
