Pojavila se sofisticirana tehnika društvenog inženjeringa poznata kao ClickFix, koja koristi lažne CAPTCHA procese verifikacije kako bi obmanula korisnike da izvrše maliciozne komande.
Ova metoda iskorišćava povjerenje korisnika u CAPTCHA sisteme, koji se obično koriste za provjeru ljudskog identiteta na mreži.
Tehnika ClickFix uključuje vođenje korisnika kroz niz naizgled bezopasnih pritisaka na tipke koji u konačnici dovode do instaliranja malicioznog softvera, uključujući kradljivce informacija, ransomware i bankarske trojance poput Qakbota.
Iskorićavanje povjerenja korisnika
ClickFix napad počinje obmanjujućim iskačućim prozorom na kompromitovanoj ili malicioznoj web stranici , oponašajući standardnu poruku za verifikaciju bota.
Od korisnika se traži da izvrše tri jednostavna koraka kako bi potvrdili svoj identitet.
Ovi koraci uključuju pritiskanje tipke Windows + R da otvorite dijaloški okvir Pokreni, nakon čega slijedi pritiskanje CTRL + V za lijepljenje unaprijed učitanog malicioznog koda iz virtuelnog međuskladišta web stranice u prompt Pokreni.
Konačno, pritiskom na Enter izvršava se zalijepljena naredba, kompromitujući uređaj preuzimanjem i izvršavanjem malicioznog koda putem Windows uslužnih programa kao što je mshta.exe.
Prema DarkAtlasu, ova tehnika se oslanja na ljudsko ponašanje, iskorišćavajući povjerenje u uobičajene interakcije na mreži za implementaciju malicioznog sadržaja bez izazivanja sumnje.
Qakbot i drugi maliciozni softver
Qakbot, bankarski trojanac koji je prvi put otkriven 2008. godine, evoluirao je u svestrani maliciozni softver sposoban da isporuči dodatne prijetnje poput ransomware-a.
Korišćen je kao inicijalni broker pristupa, olakšavajući bočno kretanje unutar mreža i razmještajući infekcije u drugoj fazi.
Integracija Qakbota sa ClickFix tehnikom omogućava napadačima da zaobiđu tradicionalne sigurnosne mjere koristeći interakciju korisnika za izvršavanje malicioznih naredbi.
Ovaj pristup čini izazov za automatska sigurnosna rješenja za otkrivanje i ublažavanje prijetnje.
Napadači koji koriste tehniku ClickFix često koriste metode zamagljivanja kako bi prikrili pravu prirodu malicioznog tereta.
Ovo uključuje korišćenje šifrovanih datoteka i dinamički generisanih URL-ova, što otežava sigurnosnim rješenjima stavljanje na crnu listu ili efikasno otkrivanje malicioznih aktivnosti.
Na primjer, napadači mogu kreirati neograničen broj jedinstvenih URL-ova za distribuciju malicioznog softvera, što komplikuje napore da se uđe u trag i analizira prijetnja. Korišćenje PHP skripti kao posrednika dodatno dodaje slojeve zamagljivanja, što otežava braniocima da identifikuju izvor napada.
Izvor: CyberSecurityNews
