Μια νέα εξέλιξη στην εκστρατεία κοινωνικής μηχανικής ClickFix έκανε την εμφάνισή της, χρησιμοποιώντας μια εξειδικευμένη τεχνική αεροπειρατείας DNS (DNS hijacking) για τη διανομή κακόβουλου λογισμικού.
Η μέθοδος αυτή παγιδεύει τους χρήστες ώστε να εκτελέσουν εντολές που χρησιμοποιούν αναζητήσεις DNS για την ανάκτηση του επόμενου σταδίου της μόλυνσης, επιτρέποντας στους επιτιθέμενους να παρακάμπτουν τις παραδοσιακές μεθόδους ανίχνευσης.
ClickFix: Η παγίδα του «Fix Issue» και η χρήση του DNS
Οι επιθέσεις ClickFix βασίζονται στην εξαπάτηση των χρηστών μέσω ψεύτικων μηνυμάτων σφάλματος, όπως πλαστά αιτήματα CAPTCHA ή ειδοποιήσεις για τη «διόρθωση προβλήματος» σε παραβιασμένους ιστότοπους. Τα δολώματα αυτά πείθουν τα θύματα να αντιγράψουν ένα συγκεκριμένο σενάριο (script) στο πρόχειρο (clipboard) και να το επικολλήσουν σε ένα παράθυρο εντολών συστήματος, όπως η εντολή «Εκτέλεση» (Run) ή το PowerShell.
Όταν το θύμα εκτελεί την αρχική κακόβουλη εντολή, το script χρησιμοποιεί το αρχείο cmd.exe για να πραγματοποιήσει μια συγκεκριμένη αναζήτηση DNS σε έναν εξωτερικό διακομιστή που ελέγχεται από τον εισβολέα, αντί για τον προεπιλεγμένο διακομιστή του συστήματος. Στη συνέχεια, το script φιλτράρει την απόκριση DNS, αναζητώντας το πεδίο «Name:».
Αυτό το πεδίο δεν περιέχει ένα νόμιμο όνομα διακομιστή, αλλά τον κώδικα για το δεύτερο στάδιο της επίθεσης, ο οποίος εκτελείται αμέσως στο μηχάνημα του θύματος.
Η διαδρομή της μόλυνσης και το ModeloRAT
Η χρήση του DNS ως καναλιού μεταφοράς επιτρέπει στους επιτιθέμενους να επιβεβαιώνουν ότι ο στόχος είναι ενεργός πριν στείλουν τα βαρύτερα στοιχεία του κακόβουλου λογισμικού. Οι ερευνητές του Microsoft Defender παρατήρησαν την ακόλουθη αλυσίδα επίθεσης:
- Λήψη αρχείου ZIP: Μόλις ενεργοποιηθεί το δεύτερο στάδιο, γίνεται λήψη ενός αρχείου ZIP που περιέχει ένα πακέτο Python.
- Αναγνώριση συστήματος: Ένα κακόβουλο σενάριο Python εκτελείται για τη συλλογή πληροφοριών σχετικά με τον κεντρικό υπολογιστή και τον τομέα (domain).
- Εγκατάσταση μόνιμης πρόσβασης: Το λογισμικό εξασφαλίζει την παραμονή του στο σύστημα δημιουργώντας ένα αρχείο VBScript και μια συντόμευση με το όνομα «MonitoringService.lnk» στον φάκελο Εκκίνησης (Startup) των Windows.
Το τελικό στάδιο της επίθεσης περιλαμβάνει την εγκατάσταση ενός Δούρειου Ίππου Απομακρυσμένης Πρόσβασης (RAT), γνωστού ως ModeloRAT. Το Microsoft Defender Antivirus εντοπίζει και μπλοκάρει αυτήν τη δραστηριότητα με την υπογραφή Trojan:Win32/ClickFix.R!ml.