Korisnici video komunikacijskog servisa Google Meet bili su na meti cyber hakera koji koriste taktiku ClickFix kako bi ih zarazili malicioznim softverom za krađu informacija.
Lažna Google Meet stranica za video konferenciju sa zlonamjernim iskačućim prozorom ClickFix (Izvor: Sekoia)
“Tatika ClickFix obmanjuje korisnike da preuzimaju i pokreću maliciozni softver na svojim strojevima bez uključivanja web pretraživača za preuzimanje ili zahtijevanja ručnog izvršavanja datoteke”, objasnili su istraživači Sekoie.
„Omogućava da se zaobiđu sigurnosne funkcije web searche, kao što je Google Sigurno pregledavanje, i da se čini manje sumnjivim korporativnim i pojedinačnim korisnicima koji ništa ne sumnjaju.”
Taktika ClickFix
Taktika ClickFix postaje popularna među mnogim drugim hakerima i predstavlja ozbiljnu opasnost i za potrošače i za poduzeća. Korisnici obično dolaze na ugrožene web stranice slijedeći linkove iz phishing e-poruka ili iz tražilica i ako nisu upoznati s ovim konkretnim trikom, vjerovatno će se zaraziti.
Ovu taktiku društvenog inženjeringa nazvali su istraživači Proofpointa, koji su označili da se koristi preko kompromitovanih web stranica koje prikazuju lažna upozorenja searche.
Upozorenja obično upozoravaju korisnike da web stranicu ili dokument ne može ispravno prikazati searche sve dok ne kliknu na dugme “Popravi” i prate navedene korake, što rezultuje time da korisnik nesvjesno kopira i izvršava malicizoni kod koji instalira malicizoni softver.
Od februara 2024., Sekoia i druge kompanije za cyber sigurnost su označile brojne kampanje isporuke malicizonog softvera koristeći istu taktiku društvenog inženjeringa. Ponekad je poziv na akciju “Riješi problem”, drugi put je “Dokaži da si čovjek” (na lažnim CAPTCHA stranicama).
Lažna upozorenja i zahtjevi za verifikaciju “parkirani” su na kompromitovane stranice i Facebook stranice, prilagođene za ciljanje korisnika Google Meeta, GitHub korisnika , kompanija u sektoru transporta i logistike , korisnika koji traže usluge video streaminga putem Googlea i druge.
Mamci se mogu razlikovati
Analitičari kompanije Sekoia uspjeli su povezati ClickFix klaster koji predstavlja Google Meet s dvije grupe cyber kriminala koje su pod-timovi timova za prevare kriptovaluta “Marko Polo” i “CryptoLove”, koji su dio ekosistema kibernetičkog kriminala na ruskom jeziku.
Skripta koju korisnici nesvjesno pokreću isporučuje maliciozni softver StealC i Rhadamanthys korisnicima Windowsa, a AMOS stealer onima koji koriste macOS. Kada korisnici budu opterećeni maliciozni softverom, Telegram botovima se šalje poruka kako bi lopovi mogli pratiti kompromise.
Sekoia istraživači kažu da obje grupe koriste isti ClickFix šablon koji oponaša Google Meet, što ukazuje na to da dijele materijale i infrastrukturu (kojom vjerovatno upravlja treća strana).
Analiza infrastrukture distribucije malicioznog softvera pokazuje da bi napadači mogli ciljati i korisnike koji traže igre, čitače PDF-a, Web3 web pretraživače i aplikacije za razmjenu poruka, kao i korisnike Zoom aplikacije za video konferencije.
Izvor:Help Net Security
