Microsoft, kimlik bilgisi çalma kötü amaçlı yazılımları sunmak için ClickFix adlı giderek daha popüler bir sosyal mühendislik tekniği kullanarak çevrimiçi seyahat acentesi Booking.com’u taklit ederek misafirperverlik sektörünü hedefleyen devam eden bir kimlik avı kampanyasına ışık tuttu.
Teknoloji devi, faaliyetin Aralık 2024’te başladığını ve finansal sahtekarlık ve hırsızlık yapmak amacıyla çalıştığını söyledi. Makaranın altındaki kampanyayı izliyor Storm-1865.
“Bu kimlik avı saldırısı, özellikle Booking.com ile çalışması, ajanstan geldiği iddia edilen sahte e -postaları gönderen Kuzey Amerika, Okyanusya, Güney ve Güneydoğu Asya ve Kuzey, Güney, Doğu ve Batı Avrupa’daki misafirperverlik organizasyonlarındaki bireyleri hedefliyor.” söz konusu Hacker News ile paylaşılan bir raporda.
ClickFix tekniği son aylarda yaygınlaştı, çünkü kullanıcıları enfeksiyon sürecini etkinleştiren aldatıcı talimatları kopyalayarak, yapıştırarak ve başlatarak sözde (yani yok) bir hatayı düzeltme kisvesi altında kötü amaçlı yazılım yürütmeye kandırıyor. İlk olarak Ekim 2023’te vahşi doğada tespit edildi.
Saldırı dizisi, Storm-1865’in hedeflenen bir kişiye, Booking.com’da iddia edilen bir konuk tarafından bırakılan olumsuz bir inceleme hakkında kötü niyetli bir e-posta göndermesiyle başlar ve onlardan “geri bildirimlerini” istemektedir. Mesaj ayrıca, alıcıları görünüşte rezervasyon sitesine yönlendiren bir bağlantı veya bir PDF eki yerleştirir.
Bununla birlikte, gerçekte, üzerine tıklamak, kurbanı “meşru bir rezervasyon.com sayfasını taklit etmek için tasarlanmış ustaca görünür bir arka planda” kaplanmış sahte bir captcha doğrulama sayfasına götürür. Bunu yaparken, fikir yanlış bir güvenlik duygusu vermek ve başarılı bir uzlaşma olasılığını artırmaktır.
Microsoft, “Sahte captcha, web sayfasının kötü niyetli yükü indirmek için ClickFix sosyal mühendislik tekniğini kullandığı yerdir.” Dedi. “Bu teknik, kullanıcıya bir Windows Run penceresini açmak için bir klavye kısayolu kullanmasını, ardından yapıştırıp web sayfasının panoya eklediği bir komutu başlatmasını söyler.”
Komuta, kısaca, Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot ve Netsupport faresi gibi çeşitli emtia kötü amaçlı yazılım ailelerini içeren bir sonraki aşama yükü bırakmak için meşru MSHTA.EXE ikili kullanıyor.
Redmond, daha önce Storm-1865’i, hileli ödeme web sayfalarına yol açan kimlik avı mesajlarıyla e-ticaret platformları kullanan alıcıları hedeflediğini söyledi. Bu nedenle, ClickFix tekniğinin dahil edilmesi, kimlik avı ve kötü amaçlı yazılımlara karşı geleneksel güvenlik önlemlerini aşmak için tasarlanmış taktik bir evrimi göstermektedir.
“Microsoft’un Storm-1865 olarak izlediği tehdit oyuncusu, kimlik avı kampanyalarını yürüten bir faaliyet kümesini kapsar, ödeme veri hırsızlığı ve hileli suçlamalara yol açar.”
“Bu kampanyalar en azından 2023’ün başlarından beri artan hacim ile devam ediyor ve çevrimiçi seyahat acenteleri ve e-ticaret platformları gibi satıcı platformları ve Gmail veya Icloud Mail gibi e-posta hizmetleri aracılığıyla gönderilen mesajları içeriyor.”
Storm-1865, ClickFix’i kötü amaçlı yazılım dağıtımı için bir vektör olarak benimseyen birçok kampanyadan sadece birini temsil eder. Bu tekniğin etkinliği, APT28 ve Muddywater gibi Rus ve İran ulus devlet gruplarının bile kurbanlarını cezbetmek için benimsedikleri.
“Özellikle, yöntem insan davranışından yararlanır: algılanan bir soruna makul bir ‘çözüm’ sunarak, saldırganlar yürütme yükünü kullanıcıya kaydırır, birçok otomatik savunmayı etkili bir şekilde kaldırarak” söz konusu Bugün yayınlanan bağımsız bir raporda.
Singapur siber güvenlik şirketi tarafından belgelenen bu tür bir kampanya, daha sonra Lumma Stealer için bir kanal görevi gören Smokesaber adlı bir indiriciyi bırakmak için ClickFix’i kullanmayı içerir. Diğer kampanyalar, ClickFix sayfalarına bağlantıları olan kötü niyetli, SEO zehirlenmesi, GitHub sorunları ve spam forumları veya sosyal medya sitelerini kullandı.
Grup-IB, “ClickFix tekniği, rakip sosyal mühendislik stratejilerinde bir evrimi işaret ediyor, kullanıcı güvenini ve kötü amaçlı yazılım dağıtımı için tarayıcı işlevselliğini artırıyor.” Dedi. Diyerek şöyle devam etti: “Bu yöntemin hem siber suçlular hem de APT grupları tarafından hızlı bir şekilde benimsenmesi etkinliğini ve düşük teknik engelini vurguluyor.”
Belgelenen diğer ClickFix kampanyalarından bazıları aşağıda listelenmiştir –
Lumma Stealer’ın çeşitli enfeksiyon mekanizmaları, SmartLoader olarak adlandırılan bir yükleyici aracılığıyla Stealer’ı sunmak için yapay zeka (AI) -Content içeren Bogus Github depolarını kullanan başka bir kampanyanın keşfedilmesiyle daha da örneklendirilir.
“Bu kötü niyetli depolar, oyun hileleri, çatlak yazılımlar ve kripto para birimi yardımcı programları dahil olmak üzere kötü olmayan araçlar olarak gizleniyor.” söz konusu Bu haftanın başlarında yayınlanan bir analizde. “Kampanya, kurbanları özgür veya yasadışı yetkisiz işlevsellik vaatleriyle ikna ederek zip dosyalarını (örneğin, Release.zip, Software.zip) indirmelerini istedi.”
Operasyon, tehdit aktörlerinin kötü amaçlı yazılım yayılımı için GitHub gibi popüler platformlarla ilişkili güveni nasıl kötüye kullandığını vurgulamaktadır.
Bulgular, Trustwave, Fatura ile ilgili tuzakları kullanan bir e-posta kimlik avı kampanyasını, Strelastealer adlı başka bir çalma kötü amaçlı yazılımının güncellenmiş bir sürümünü dağıtmak için detaylandırdı ve bu da adlandırılan tek bir tehdit aktör tarafından çalıştırıldığı değerlendirildi. HIVE0145.
“Strelastealers örnekleri, analizini karmaşıklaştırmak için özel çok katmanlı şaşkınlık ve kod akışı düzleştirme içerir.” söz konusu. Diyerek şöyle devam etti: “Tehdit oyuncusunun potansiyel olarak ‘yıldız yükleyici’, özellikle Strelastealer ile kullanılacak özel bir krykor geliştirdiği bildirildi.”
