Προσοχή στα πλαστά παράθυρα σφάλματος στο Chrome

Μια νέα επίθεση έχει εμφανιστεί στο διαδίκτυο η οποία χρησιμοποιεί παράθυρα με προειδοποίηση για πλαστά των Chrome, Word και OneDrive για να σας εξαπατήσει και να τρέξετε κακόβουλο λογισμικό στο PowerShell.

ai phishing

Νέο κόλπο έχουν βρει οι απατεώνες δείχνοντας σας παράθυρα με μηνύματα σφαλμάτων των Chrome, Word και OneDrive και προτρέποντας σας να τα διορθώσετε τρέχοντας κακόβουλο script στο PowerShell. Η νέα καμπάνια χρησιμοποιείται από τους απατεώνες που βρίσκονται πίσω από τα ClearFake, ClickFix και TA571.

Αν γίνετε στόχος τότε θα δείτε ένα παράθυρο που σας ενημερώνει ότι υπάρχει ένα σφάλμα και θα σας προτρέπει να κάνετε κλικ σε ένα κουμπί που θα αντιγράψει μια “διόρθωση” στο πρόχειρο και την οποία θα “πρέπει” να την τρέξετε στο PowerShell μέσω του παραθύρου Εκτέλεση.

Η προειδοποίηση ήρθε από το ProofPoint όπου αναφέρει: «Αν και η καμπάνια επίθεσης απαιτεί σημαντική αλληλεπίδραση με τον χρήστη για να είναι επιτυχής, η κοινωνική είναι αρκετά έξυπνη για να παρουσιάσει σε κάποιον κάτι που να μοιάζει με πραγματικό πρόβλημα και λύση ταυτόχρονα, κάτι που να μπορεί να ωθήσει έναν χρήστη να αναλάβει δράση χωρίς να λαμβάνει υπόψη τον κίνδυνο».

Ανάλογα σε ποιον απατεώνα θα πέσετε και τον τρόπο επίθεσης τους, θα δείτε :

Απατεώνες πίσω από το ClearFake
Τα μηνύματα προτροπής θα τα δείτε αν επισκεφτείτε έναν παραβιασμένο ιστότοπο. Θα εμφανιστεί μια ψεύτικη προειδοποίηση του Google Chrome που αναφέρει πρόβλημα με την της ς.

Στη συνέχεια, το παράθυρο διαλόγου ζητά από τον επισκέπτη να εγκαταστήσει ένα “πιστοποιητικό ρίζας” αντιγράφοντας ένα σενάριο PowerShell στο Πρόχειρο των Windows και εκτελώντας το σε μια κονσόλα Windows PowerShell σαν Διαχειριστής.

clearfake

Όταν τρέξει το sciprt στο PowerShell, θα εκτελέσει διάφορα βήματα για να επιβεβαιώσει ότι η συσκευή είναι έγκυρος στόχος και, στη συνέχεια, θα πραγματοποιήσει τα κάτωθι:

  • Ξεπλένει την προσωρινή μνήμη DNS.
  • Καταργεί το περιεχόμενο του προχείρου.
  • Εμφανίζει ένα μήνυμα παραπλάνησης.
  • Κατεβάζει ένα άλλο απομακρυσμένο σενάριο PowerShell, το οποίο εκτελεί ελέγχους anti-VM πριν από τη λήψη ενός προγράμματος κλοπής πληροφοριών.

Απατεώνες πίσω από το ClickFix
Εδώ οι απατεώνες θα προσθέσουν κακόβουλο κώδικα σε παραβιασμένους ιστότοπους που θα δημιουργήσει ένα iframe για να επικαλύψει ένα άλλο ψεύτικο σφάλμα του Google Chrome.

Οι χρήστες λαμβάνουν οδηγίες να ανοίξουν το “Windows PowerShell (Admin)” και να επικολλήσουν τον παρεχόμενο κώδικα, οδηγώντας στις ίδιες μολύνσεις που αναφέρονται παραπάνω.

Απατεώνες πίσω από emails
Τέλος, μια αλυσίδα μόλυνσης που βασίζεται σε email που χρησιμοποιεί συνημμένα HTML που μοιάζουν με έγγραφα του Microsoft Word προτρέπει τους χρήστες να εγκαταστήσουν την επέκταση “Word Online” για να προβάλουν σωστά το έγγραφο.

clickfix

Το μήνυμα σφάλματος προσφέρει τις επιλογές “How to fix” και “Auto-fix”, με το “How to fix” να αντιγράφει μια εντολή PowerShell με κωδικοποίηση base64 στο πρόχειρο, δίνοντας εντολή στον χρήστη να την επικολλήσει στο PowerShell.

Σε αυτήν την περίπτωση, οι εντολές PowerShell πραγματοποιούν λήψη και εκτέλεση είτε ενός υ MSI είτε ενός σεναρίου VBS, οδηγώντας σε μολύνσεις από το Matanbuchus ή το DarkGate, αντίστοιχα.

Προσοχή στο τι εμφανίζεται στα μάτια σας
Σε όλες τις περιπτώσεις, οι φορείς απειλών εκμεταλλεύονται την έλλειψη επίγνωσης των θυμάτων σχετικά με τους κινδύνους από την εκτέλεση εντολών PowerShell στα συστήματά τους.

Εκμεταλλεύονται επίσης την αδυναμία των Windows να εντοπίσουν και να αποκλείσουν τις κακόβουλες ενέργειες που ξεκινούν από τον επικολλημένο κώδικα.

Οι διαφορετικές αλυσίδες επίθεσης δείχνουν ότι το TA571 πειραματίζεται ενεργά με πολλαπλές μεθόδους για να βελτιώσει την αποτελεσματικότητα και να βρει περισσότερα μονοπάτια μόλυνσης για να θέσει σε κίνδυνο μεγαλύτερο αριθμό συστημάτων.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).