Μια νέα καμπάνια ClickFix παρασύρει τους χρήστες σε δόλιες σελίδες συνεδρίων του Google Meet που εμφανίζουν πλαστά σφάλματα συνδεσιμότητας που παρέχουν κακόβουλο λογισμικό κλοπής πληροφοριών για λειτουργικά συστήματα Windows και macOS.
Το ClickFix είναι μια τακτική κοινωνικής μηχανικής που προέκυψε τον Μάιο, η οποία αναφέρθηκε για πρώτη φορά από την εταιρεία κυβερνοασφάλειας Proofpoint, από έναν παράγοντα απειλής (TA571) που χρησιμοποίησε μηνύματα που πλαστοπροσωπούσαν σφάλματα για το Google Chrome, το Microsoft Word και το OneDrive.
Τα σφάλματα ώθησαν το θύμα να αντιγράψει στο πρόχειρο ένα κομμάτι κώδικα PowerShell που θα διόρθωνε τα προβλήματα εκτελώντας το στη γραμμή εντολών των Windows.
Τα θύματα θα μολύνουν έτσι συστήματα με διάφορα κακόβουλα προγράμματα όπως το DarkGate, το Matanbuchus, το NetSupport, το Amadey Loader, το XMRig, έναν αεροπειρατή του προχείρου και το Lumma Stealer.
Τον Ιούλιο, ανέφερε ο McAfee ότι οι καμπάνιες ClickFix γίνονταν συχνές, ειδικά στις Ηνωμένες Πολιτείες και την Ιαπωνία.
Μια νέα αναφορά από τη Sekoia, έναν πάροχο ασφάλειας στον κυβερνοχώρο SaaS, σημειώνει ότι οι καμπάνιες ClickFix έχουν εξελιχθεί σημαντικά και πλέον χρησιμοποιούν ένα δέλεαρ του Google Meet, email phishing που στοχεύουν εταιρείες μεταφορών και logistics, ψεύτικες σελίδες Facebook και παραπλανητικά ζητήματα GitHub.
Σύμφωνα με τη γαλλική εταιρεία κυβερνοασφάλειας, ορισμένες από τις πιο πρόσφατες εκστρατείες διεξάγονται από δύο ομάδες απειλών, τη Slavic Nation Empire (SNE) και την Scamquerteo, που θεωρούνται υποομάδες των συμμοριών απάτης κρυπτονομισμάτων Marko Polo και CryptoLove.
Η παγίδα του Google Meet
Οι φορείς απειλών χρησιμοποιούν ψεύτικες σελίδες για το Google Meet, την υπηρεσία επικοινωνίας βίντεο μέρος της σουίτας Google Workspace, δημοφιλής σε εταιρικά περιβάλλοντα για εικονικές συσκέψεις, διαδικτυακά σεμινάρια και διαδικτυακή συνεργασία.
Ένας εισβολέας θα έστελνε στα θύματα μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται σαν νόμιμες προσκλήσεις στο Google Meet που σχετίζονται με μια συνάντηση εργασίας/συνέδριο ή κάποιο άλλο σημαντικό γεγονός.
Οι διευθύνσεις URL μοιάζουν πολύ με τους πραγματικούς συνδέσμους του Google Meet:
- συναντώ[.]google[.]μας-ενταχθούν[.]com
- συναντώ[.]google[.]σύνδεση στο διαδίκτυο[.]com
- συναντώ[.]γκούγκι[.]com-join[.]μας
- συναντώ[.]google[.]cdm-join[.]μας
Μόλις το θύμα μπει στην ψεύτικη σελίδα, λαμβάνει ένα αναδυόμενο μήνυμα που ενημερώνει για ένα τεχνικό πρόβλημα, όπως πρόβλημα μικροφώνου ή ακουστικών.
Εάν κάνουν κλικ στο “Try Fix”, ξεκινά μια τυπική διαδικασία μόλυνσης ClickFix όπου ο κώδικας PowerShell που αντιγράφεται από τον ιστότοπο και έχει επικολληθεί στην προτροπή των Windows μολύνει τον υπολογιστή τους με κακόβουλο λογισμικό, λαμβάνοντας το ωφέλιμο φορτίο από τα “googiedrivers”[.]τομέα com.
Τα τελικά ωφέλιμα φορτία είναι κακόβουλο λογισμικό Stealc ή Rhadamanthys για κλοπή πληροφοριών στα Windows. Σε ένα μηχάνημα macOS, ο παράγοντας απειλής απορρίπτει το AMOS Stealer ως αρχείο .DMG (εικόνα δίσκου Apple) με το όνομα “Launcher_v194”.
Η Sekoia έχει εντοπίσει πολλά άλλα συμπλέγματα διανομής κακόβουλου λογισμικού εκτός από το Google Meet, όπως Zoom, προγράμματα ανάγνωσης PDF, ψεύτικα βιντεοπαιχνίδια (Lunacy, Calipso, Battleforge, Ragon), προγράμματα περιήγησης και έργα web3 (NGT Studio) και εφαρμογές messenger (Nortex).
VIA: bleepingcomputer.com