Een geavanceerde permanente dreiging (APT) groep met banden met Pakistan is toegeschreven aan het creëren van een nepwebsite die zich vermomt als het postsysteem van India als onderdeel van een campagne die is ontworpen om zowel Windows- als Android -gebruikers in het land te infecteren.
Cybersecurity Company Cyfirma heeft de campagne met medium vertrouwen toegeschreven aan een dreigingsacteur genaamd APT36, die ook bekend staat als transparante stam.
De frauduleuze website die India -post nabootst, is de naam “Postindia (.) Site.” Gebruikers die op de site van Windows Systems landen, worden gevraagd om een PDF -document te downloaden, terwijl degenen die van een Android -apparaat bezoeken een kwaadwillig applicatiepakket (“IndiaPost.apk”) -bestand worden geserveerd.
“Wanneer toegankelijk vanaf een bureaublad, levert de site een kwaadaardig PDF -bestand met ‘ClickFix’ -tactieken,” zei Cyfirma. “Het document instrueert gebruikers om op de Win + R -toetsen te drukken, een opdracht voor verstrekte PowerShell in het dialoogvenster Run te plakken en het uit te voeren – mogelijk het systeem in gevaar brengen.”
Uit een analyse van de EXIF -gegevens die zijn gekoppeld aan de gevallen PDF toont aan dat deze op 23 oktober 2024 is gemaakt, door een auteur genaamd “PMYLS”, een waarschijnlijke verwijzing naar de Pakistaanse premierjeugd laptopregeling. Het domein dat zich voordeed aan India Post werd ongeveer een maand later op 20 november 2024 geregistreerd.
De PowerShell-code is ontworpen om een payload van de volgende fase te downloaden van een externe server (“88.222.245 (.) 211”) die momenteel inactief is.
Aan de andere kant, wanneer dezelfde site wordt bezocht vanaf een Android -apparaat, spoort het gebruikers aan om hun mobiele app te installeren voor een ‘betere ervaring’. De app, eenmaal geïnstalleerd, vraagt om uitgebreide machtigingen waarmee hij gevoelige gegevens kan oogsten en exfiltreren, inclusief contactlijsten, huidige locatie en bestanden uit externe opslag.
“De Android-app verandert zijn pictogram om een niet-susy Google-accounts-pictogram na te bootsen om zijn activiteit te verbergen, waardoor het voor de gebruiker moeilijk is om de app te vinden en te verwijderen wanneer ze het willen verwijderen,” zei het bedrijf. “De app heeft ook een functie om gebruikers te dwingen machtigingen te accepteren als ze in eerste instantie worden geweigerd.”
De kwaadaardige app is ook ontworpen om continu op de achtergrond te werken, zelfs na een herstart van het apparaat, terwijl ze expliciet machtigingen zoeken om de optimalisatie van de batterij te negeren.
“Clickfix wordt in toenemende mate geëxploiteerd door cybercriminelen, oplichters en APT -groepen, zoals gerapporteerd door andere onderzoekers die het gebruik ervan in het wild observeren,” zei Cyfirma. “Deze opkomende tactiek vormt een belangrijke bedreiging omdat het zich kan richten op zowel nietsvermoedende als technisch onderlegde gebruikers die misschien niet bekend zijn met dergelijke methoden.”
