Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe ClickFix-campagne die misbruik maakt van gecompromitteerde legitieme sites om een voorheen ongedocumenteerde trojan voor externe toegang (RAT) te leveren, genaamd MIMICRAT (ook bekend als AstarionRAT).
“De campagne demonstreert een hoog niveau van operationele verfijning: gecompromitteerde sites verspreid over meerdere industrieën en regio’s dienen als leveringsinfrastructuur, een meerfasige PowerShell-keten voert ETW- en AMSI-bypass uit voordat een Lua-scripted shellcode-lader wordt verwijderd, en het uiteindelijke implantaat communiceert via HTTPS op poort 443 met behulp van HTTP-profielen die lijken op legitiem webanalyseverkeer”, aldus Elastic Security Labs in een rapport van vrijdag.
Volgens het enterprise search- en cybersecuritybedrijf is MIMICRAT een aangepaste C++ RAT met ondersteuning voor Windows-tokenimitatie, SOCKS5-tunneling en een set van 22 opdrachten voor uitgebreide post-exploitatiemogelijkheden. De campagne werd eerder deze maand ontdekt.
Er wordt ook beoordeeld dat het tactische en infrastructurele overlappingen deelt met een andere ClickFix-campagne gedocumenteerd door Huntress die leidt tot de inzet van de Matanbuchus 3.0-lader, die vervolgens dient als kanaal voor dezelfde RAT. Het einddoel van de aanval is vermoedelijk de inzet van ransomware of data-exfiltratie.
In de door Elastic gemarkeerde infectiereeks is het toegangspunt bincheck(.)io, een legitieme Bank Identification Number (BIN)-validatieservice die werd geschonden om kwaadaardige JavaScript-code te injecteren die verantwoordelijk is voor het laden van een extern gehost PHP-script. Het PHP-script gaat vervolgens verder met het leveren van de ClickFix-lokmiddel door een nep-Cloudflare-verificatiepagina weer te geven en het slachtoffer te instrueren een opdracht te kopiëren en in het Windows Run-dialoogvenster te plakken om het probleem op te lossen.
Dit leidt op zijn beurt tot de uitvoering van een PowerShell-opdracht, die vervolgens contact maakt met een command-and-control (C2)-server om een PowerShell-script in de tweede fase op te halen dat de Windows-gebeurtenisregistratie (ETW) en antivirusscanning (AMSI) patcht voordat een op Lua gebaseerde lader wordt verwijderd. In de laatste fase decodeert het Lua-script en wordt het uitgevoerd in de geheugenshellcode die MIMICRAT levert.
De Trojan gebruikt HTTPS voor de communicatie met de C2-server, waardoor het een twintigtal opdrachten kan accepteren voor proces- en bestandssysteemcontrole, interactieve shell-toegang, tokenmanipulatie, shellcode-injectie en SOCKS-proxy-tunneling.
“De campagne ondersteunt 17 talen, waarbij de inhoud dynamisch wordt gelokaliseerd op basis van de taalinstellingen van de browser van het slachtoffer om het effectieve bereik te vergroten”, aldus beveiligingsonderzoeker Salim Bitam. “De geïdentificeerde slachtoffers bestrijken meerdere regio’s, waaronder een in de VS gevestigde universiteit en meerdere Chineessprekende gebruikers die zijn gedocumenteerd in openbare forumdiscussies, wat duidt op een brede opportunistische targeting.”
