Cybersecurity-onderzoekers vestigen de aandacht op een nieuwe campagne die gebruik maakt van een combinatie van ClickFix-lokmiddelen en nepwebsites voor volwassenen om gebruikers te misleiden zodat ze kwaadaardige opdrachten uitvoeren onder het mom van een “kritieke” Windows-beveiligingsupdate.
“De campagne maakt gebruik van nepwebsites voor volwassenen (xHamster, PornHub-klonen) als phishing-mechanisme, waarschijnlijk verspreid via malvertising”, aldus Acronis in een nieuw rapport gedeeld met The Hacker News. “Het volwassen thema en de mogelijke connectie met duistere websites vergroten de psychologische druk van het slachtoffer om te voldoen aan de plotselinge installatie van een ‘beveiligingsupdate’.”
Het afgelopen jaar zijn de aanvallen in ClickFix-stijl enorm toegenomen, waarbij gebruikers doorgaans worden misleid om kwaadaardige opdrachten op hun eigen machines uit te voeren met behulp van aanwijzingen voor technische oplossingen of het voltooien van CAPTCHA-verificatiecontroles. Volgens gegevens van Microsoft is ClickFix de meest gebruikelijke methode voor initiële toegang geworden, goed voor 47% van de aanvallen.
De nieuwste campagne toont zeer overtuigende valse Windows-updateschermen in een poging het slachtoffer kwaadaardige code te laten uitvoeren, wat aangeeft dat aanvallers afstand nemen van de traditionele robotcontrole-lokmiddelen. De activiteit heeft de codenaam gekregen JackFix van het in Singapore gevestigde cyberbeveiligingsbedrijf.
Misschien wel het meest zorgwekkende aspect van de aanval is dat de valse Windows-updatewaarschuwing het hele scherm kaapt en het slachtoffer instrueert het Windows Run-dialoogvenster te openen, op Ctrl + V te drukken en op Enter te drukken, waardoor de infectiesequentie wordt geactiveerd.
Er wordt aangenomen dat het startpunt van de aanval een nepsite voor volwassenen is waarnaar nietsvermoedende gebruikers worden doorverwezen via malvertising of andere social engineering-methoden, om hen vervolgens plotseling een “dringende beveiligingsupdate” te bieden. Er is vastgesteld dat bepaalde iteraties van de sites opmerkingen van ontwikkelaars in het Russisch bevatten, wat duidt op de mogelijkheid van een Russisch sprekende bedreigingsacteur.
“Het Windows Update-scherm is volledig gemaakt met behulp van HTML- en JavaScript-code en verschijnt zodra het slachtoffer interactie heeft met een element op de phishing-site”, aldus beveiligingsonderzoeker Eliad Kimhy. “De pagina probeert via JavaScript-code op volledig scherm te gaan, terwijl er tegelijkertijd een redelijk overtuigend Windows Update-venster wordt gecreëerd dat bestaat uit een blauwe achtergrond en witte tekst, wat doet denken aan Windows’ beruchte Blue Screen of Death.”
Het opvallende aan de aanval is dat deze sterk leunt op verduistering om ClickFix-gerelateerde code te verbergen, en voorkomt dat gebruikers aan de waarschuwing op volledig scherm kunnen ontsnappen door de Escape- en F11-knoppen uit te schakelen, samen met de F5- en F12-toetsen. Vanwege gebrekkige logica kunnen gebruikers echter nog steeds op de Escape- en F11-knoppen drukken om het volledige scherm te verwijderen.
De aanvankelijk uitgevoerde opdracht is een MSHTA-payload die wordt gestart met behulp van het legitieme binaire bestand mshta.exe, dat op zijn beurt JavaScript bevat dat is ontworpen om een PowerShell-opdracht uit te voeren om een ander PowerShell-script van een externe server op te halen. Deze domeinen zijn zo ontworpen dat het rechtstreeks navigeren naar deze adressen de gebruiker omleidt naar een goedaardige site zoals Google of Steam.
“Alleen wanneer de site wordt bereikt via een irm- of iwr PowerShell-opdracht, reageert deze met de juiste code”, legt Acronis uit. “Dit creëert een extra laag van verduistering en analysepreventie.”
Het gedownloade PowerShell-script bevat ook verschillende verduisterings- en anti-analysemechanismen, waarvan er één het gebruik van afvalcode is om analyse-inspanningen te bemoeilijken. Het probeert ook de bevoegdheden te verhogen en creëert Microsoft Defender Antivirus-uitsluitingen voor command-and-control (C2)-adressen en paden waar de payloads worden geënsceneerd.
Om escalatie van bevoegdheden te bewerkstelligen, gebruikt de malware de cmdlet Start-Process in combinatie met de parameter “-Verb RunAs” om PowerShell met beheerdersrechten te starten en wordt voortdurend om toestemming gevraagd totdat deze door het slachtoffer wordt verleend. Zodra deze stap succesvol is, is het script ontworpen om extra ladingen te verwijderen, zoals eenvoudige trojans voor externe toegang (RAT’s) die zijn geprogrammeerd om contact op te nemen met een C2-server, vermoedelijk om meer malware te verwijderen.
Er is ook waargenomen dat het PowerShell-script tot wel acht verschillende payloads kan leveren, waarbij Acronis het omschrijft als het “meest flagrante voorbeeld van spray and bid.” Deze omvatten Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey, evenals andere niet-gespecificeerde laders en RAT’s.
“Als slechts één van deze payloads succesvol werkt, lopen slachtoffers het risico wachtwoorden, crypto-wallets en meer te verliezen”, aldus Kimhy. “In het geval van een paar van deze laders kan de aanvaller ervoor kiezen om andere ladingen in de aanval te brengen, en de aanval kan snel verder escaleren.”
De onthulling komt op het moment dat Huntress een meerfasige malware-uitvoeringsketen heeft beschreven die voortkomt uit een ClickFix-lokmiddel dat zich voordoet als een Windows-update en stealer-malware zoals Lumma en Rhadamanthys inzet door de laatste fasen in een afbeelding te verbergen, een techniek die bekend staat als steganografie.
Net als in het geval van de bovengenoemde campagne, gebruikt de ClickFix-opdracht die naar het klembord is gekopieerd en in het dialoogvenster Uitvoeren is geplakt, mshta.exe om een JavaScript-payload uit te voeren die in staat is om een op afstand gehost PowerShell-script rechtstreeks in het geheugen uit te voeren.
De PowerShell-code wordt gebruikt voor het decoderen en starten van een .NET-assembly-payload, een lader genaamd Stego Loader die dient als kanaal voor de uitvoering van met Donut verpakte shellcode verborgen in een ingesloten en gecodeerd PNG-bestand. De geëxtraheerde shellcode wordt vervolgens in een doelproces geïnjecteerd om uiteindelijk Lumma of Rhadamanthys te implementeren.
Interessant is dat een van de domeinen die door Huntress worden vermeld als gebruikt om het PowerShell-script op te halen (“securitysettings(.)live”) ook door Acronis is gemarkeerd, wat erop wijst dat deze twee activiteitenclusters mogelijk verband houden.
“De bedreigingsactor verandert vaak de URI (/tick.odd, /gpsc.dat, /ercx.dat, etc.) die wordt gebruikt om de eerste mshta.exe-fase te hosten”, aldus beveiligingsonderzoekers Ben Folland en Anna Pham in het rapport.
“Bovendien is de bedreigingsacteur overgestapt van het hosten van de tweede fase op het domein securitysettings(.)live en in plaats daarvan gehost op xiiasdpsdoasdpojas(.)com, hoewel beide verwijzen naar hetzelfde IP-adres 141.98.80(.)175, dat ook werd gebruikt om de eerste fase te leveren (dwz de JavaScript-code die wordt uitgevoerd door mshta.exe). “
ClickFix is enorm succesvol geworden omdat het vertrouwt op een eenvoudige maar effectieve methode, namelijk het verleiden van een gebruiker om zijn eigen machine te infecteren en beveiligingscontroles te omzeilen. Organisaties kunnen zich tegen dergelijke aanvallen verdedigen door werknemers te trainen om de dreiging beter te kunnen herkennen en door de Windows Run-box uit te schakelen via registerwijzigingen of Groepsbeleid.
