Μια νέα επίθεση έχει εμφανιστεί στο διαδίκτυο η οποία χρησιμοποιεί παράθυρα με προειδοποίηση για πλαστά σφάλματα των Chrome, Word και OneDrive για να σας εξαπατήσει και να τρέξετε κακόβουλο λογισμικό στο PowerShell.
Νέο κόλπο έχουν βρει οι απατεώνες δείχνοντας σας παράθυρα με μηνύματα σφαλμάτων των Chrome, Word και OneDrive και προτρέποντας σας να τα διορθώσετε τρέχοντας κακόβουλο script στο PowerShell. Η νέα καμπάνια χρησιμοποιείται από τους απατεώνες που βρίσκονται πίσω από τα ClearFake, ClickFix και TA571.
Αν γίνετε στόχος τότε θα δείτε ένα παράθυρο που σας ενημερώνει ότι υπάρχει ένα σφάλμα και θα σας προτρέπει να κάνετε κλικ σε ένα κουμπί που θα αντιγράψει μια “διόρθωση” στο πρόχειρο και την οποία θα “πρέπει” να την τρέξετε στο PowerShell μέσω του παραθύρου Εκτέλεση.
Η προειδοποίηση ήρθε από το ProofPoint όπου αναφέρει: «Αν και η καμπάνια επίθεσης απαιτεί σημαντική αλληλεπίδραση με τον χρήστη για να είναι επιτυχής, η κοινωνική μηχανική είναι αρκετά έξυπνη για να παρουσιάσει σε κάποιον κάτι που να μοιάζει με πραγματικό πρόβλημα και λύση ταυτόχρονα, κάτι που να μπορεί να ωθήσει έναν χρήστη να αναλάβει δράση χωρίς να λαμβάνει υπόψη τον κίνδυνο».
Ανάλογα σε ποιον απατεώνα θα πέσετε και τον τρόπο επίθεσης τους, θα δείτε :
Απατεώνες πίσω από το ClearFake
Τα μηνύματα προτροπής θα τα δείτε αν επισκεφτείτε έναν παραβιασμένο ιστότοπο. Θα εμφανιστεί μια ψεύτικη προειδοποίηση του Google Chrome που αναφέρει πρόβλημα με την εμφάνιση της ιστοσελίδας.
Στη συνέχεια, το παράθυρο διαλόγου ζητά από τον επισκέπτη να εγκαταστήσει ένα “πιστοποιητικό ρίζας” αντιγράφοντας ένα σενάριο PowerShell στο Πρόχειρο των Windows και εκτελώντας το σε μια κονσόλα Windows PowerShell σαν Διαχειριστής.
Όταν τρέξει το sciprt στο PowerShell, θα εκτελέσει διάφορα βήματα για να επιβεβαιώσει ότι η συσκευή είναι έγκυρος στόχος και, στη συνέχεια, θα πραγματοποιήσει τα κάτωθι:
- Ξεπλένει την προσωρινή μνήμη DNS.
- Καταργεί το περιεχόμενο του προχείρου.
- Εμφανίζει ένα μήνυμα παραπλάνησης.
- Κατεβάζει ένα άλλο απομακρυσμένο σενάριο PowerShell, το οποίο εκτελεί ελέγχους anti-VM πριν από τη λήψη ενός προγράμματος κλοπής πληροφοριών.
Απατεώνες πίσω από το ClickFix
Εδώ οι απατεώνες θα προσθέσουν κακόβουλο κώδικα σε παραβιασμένους ιστότοπους που θα δημιουργήσει ένα iframe για να επικαλύψει ένα άλλο ψεύτικο σφάλμα του Google Chrome.
Οι χρήστες λαμβάνουν οδηγίες να ανοίξουν το “Windows PowerShell (Admin)” και να επικολλήσουν τον παρεχόμενο κώδικα, οδηγώντας στις ίδιες μολύνσεις που αναφέρονται παραπάνω.
Απατεώνες πίσω από emails
Τέλος, μια αλυσίδα μόλυνσης που βασίζεται σε email που χρησιμοποιεί συνημμένα HTML που μοιάζουν με έγγραφα του Microsoft Word προτρέπει τους χρήστες να εγκαταστήσουν την επέκταση “Word Online” για να προβάλουν σωστά το έγγραφο.
Το μήνυμα σφάλματος προσφέρει τις επιλογές “How to fix” και “Auto-fix”, με το “How to fix” να αντιγράφει μια εντολή PowerShell με κωδικοποίηση base64 στο πρόχειρο, δίνοντας εντολή στον χρήστη να την επικολλήσει στο PowerShell.
Σε αυτήν την περίπτωση, οι εντολές PowerShell πραγματοποιούν λήψη και εκτέλεση είτε ενός αρχείου MSI είτε ενός σεναρίου VBS, οδηγώντας σε μολύνσεις από το Matanbuchus ή το DarkGate, αντίστοιχα.
Προσοχή στο τι εμφανίζεται στα μάτια σας
Σε όλες τις περιπτώσεις, οι φορείς απειλών εκμεταλλεύονται την έλλειψη επίγνωσης των θυμάτων σχετικά με τους κινδύνους από την εκτέλεση εντολών PowerShell στα συστήματά τους.
Εκμεταλλεύονται επίσης την αδυναμία των Windows να εντοπίσουν και να αποκλείσουν τις κακόβουλες ενέργειες που ξεκινούν από τον επικολλημένο κώδικα.
Οι διαφορετικές αλυσίδες επίθεσης δείχνουν ότι το TA571 πειραματίζεται ενεργά με πολλαπλές μεθόδους για να βελτιώσει την αποτελεσματικότητα και να βρει περισσότερα μονοπάτια μόλυνσης για να θέσει σε κίνδυνο μεγαλύτερο αριθμό συστημάτων.