Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
ИТ-отделам следует пересмотреть ограничения PowerShell, поскольку все чаще используемый метод «щелкни и исправь» позволяет пользователям создавать ложные проблемы в системе, самостоятельно вызывая вредоносные скрипты PowerShell, что снижает уровень подозрений.
Группы угроз все чаще используют технику социальной инженерии под названием ClickFix, чтобы обманом заставить пользователей скопировать вредоносный код PowerShell и выполнить его самостоятельно. Несмотря на то, что для успеха требуется больше взаимодействия с пользователем, эта тактика была принята несколькими группами угроз в последние месяцы, что говорит о том, что она достаточно эффективна для избегания обнаружения по сравнению с использованием автоматизированных механизмов доставки полезной нагрузки.
Исследователи из компании по безопасности Proofpoint изначально наблюдали, как этот метод использовался еще в марте группой угроз, отслеживаемой как TA571, которая действует как посредник первоначального доступа в экосистеме киберпреступников. Компания окрестила технику ClickFix, поскольку ее приманкой были поддельные диалоговые окна с ошибками браузера с инструкциями о том, как исправить проблему.
Инструкции требуют от пользователей нажать кнопку, чтобы скопировать «исправление», а затем вставить его в диалоговое окно «Выполнить» Windows, которое можно открыть, нажав клавиши Windows+R, или в терминал PowerShell.
С тех пор было замечено множество вариаций этой техники, при этом поддельные ошибки имитировали Microsoft Word и даже специализированное транспортное и логистическое программное обеспечение, используемое в определенных секторах. Это говорит о том, что злоумышленники, использующие эту технику, сначала изучают свои целевые среды, чтобы определить, какое программное обеспечение могут использовать сотрудники.
«В частности, недавно было замечено, что злоумышленники используют поддельную технику ClickFix на тему CAPTCHA, которая якобы проверяет пользователя с помощью проверки «Подтвердите, что вы человек» (CAPTCHA)», — написали исследователи в новом отчете на этой неделе. «Большая часть активности основана на наборе инструментов с открытым исходным кодом под названием reCAPTCHA Phish, доступном на GitHub для «образовательных целей»».
Например, в одном случае пользователи получили фишинговое письмо с темой «Важное обновление программного обеспечения: требуется действие», которое включало закодированный код PowerShell и инструкции по его выполнению непосредственно в самом сообщении электронной почты. Вредоносный код был разработан для загрузки менеджера архивов 7zip вместе с защищенным паролем архивом .7z, который содержал вариант трояна удаленного доступа NetSupport.
В другой кампании фишинговые письма с такими темами, как бюджет, финансы, счета-фактуры и доставка, среди прочих, содержали HTML-вложения, которые при открытии отображали поддельные ошибки Microsoft Word, которые инструктировали пользователей выполнить код PowerShell для устранения проблемы. Кампания развернула вредоносное ПО Brute Ratel C4 и Latrodectus, последнее из которых стало новым фаворитом брокеров первоначального доступа.
Это вставляло фрагмент вредоносного PowerShell в диалоговое окно «Выполнить», который заканчивался обычным текстом reCAPTCHA Verification ID, за которым следовал номер. Этот поддельный текст reCAPTCHA — единственная часть, которую пользователь мог бы увидеть при вставке, поскольку диалоговое окно «Выполнить» имеет ограниченное видимое пространство. Вредоносный код был разработан для развертывания варианта похитителя информации Lumma, который также используется в вредоносной бесплатной операции загрузки приложения AI.
В отдельной кампании ClickFix пользователи были атакованы фишинговым письмом, имитирующим швейцарский рынок электронной коммерции Ricardo, которое направляло пользователей на поддельный веб-сайт, использовавший тот же инструментарий reCAPTCHA Phish в сочетании с техникой ClickFix. Вредоносный код в этом случае инициировал более сложную цепочку атак, которая привела к установке AsyncRAT или PureLog Stealer. AsyncRAT широко использовался в течение 2023 года для атаки на ключевых сотрудников инфраструктуры США.
В октябре исследователи обнаружили еще одну кампанию ClickFix, которая использовала приманку на основе ChatGPT, обещающую пользователям доступ к сервису генератора подсказок. Мошеннический веб-сайт призывал пользователей присоединиться к сообществу ChatGPT, но использовал фишинговый инструмент reCAPTCHA и полезную нагрузку буфера обмена ClickFix, чтобы обманом заставить пользователей выполнить вредоносный код. Эта кампания использовала вредоносное ПО XWorm, которое также недавно использовалось в фишинговых атаках с участием вредоносных виртуальных жестких дисков.
Даже группы кибершпионажа, похоже, переняли технику ClickFix. К концу октября группа APT, отслеживаемая как UAC-0050, имеющая историю атак на организации из Украины, запустила фишинговую кампанию на украинском языке, которая использовала поддельные уведомления об общих документах, чтобы направлять пользователей на контролируемый злоумышленником веб-сайт. Веб-сайт использовал комбинацию reCAPTCHA Phish и ClickFix, чтобы обманом заставить пользователей запустить PowerShell в рамках CAPTCHA-вызова. Код использовал редко используемый похититель информации, получивший название Lucky Volunteer.
Однако они часто ищут случаи, когда скрипты PowerShell выполняются другими процессами, поскольку именно так PowerShell обычно и используется не по назначению — как часть более крупной цепочки атак, например, запуск вредоносными макросами Microsoft Word или загрузка и выполнение вредоносного скрипта PowerShell для развертывания дополнительных полезных нагрузок.
С ClickFix пользователь вызывает PowerShell вручную и напрямую. Поскольку PowerShell имеет законное применение, такое поведение не обязательно подозрительно.
«Коварство этой техники в том, что злоумышленники наживаются на врожденном желании людей быть полезными и независимыми», — пишут исследователи. «Предоставляя то, что кажется и проблемой, и решением, люди чувствуют себя уполномоченными «исправить» проблему самостоятельно, без необходимости оповещать свою ИТ-команду или кого-либо еще, и это обходит защиту безопасности, заставляя человека заражать себя».
Одной из мер защиты от атак PowerShell является полное отключение функции на компьютерах сотрудников, но это может нарушить административные задачи, поэтому большинство организаций избегают этого. Вместо этого Microsoft рекомендует ограничить доступ к PowerShell только авторизованным пользователям и администраторам. Это можно сделать, включив политики Device Guard или Windows Defender Application Control.
Microsoft также рекомендует внедрить Just Enough Administration (JEA) — технологию PowerShell, которая позволяет ограничить полномочия учетных записей, используя принципы наименьших привилегий и ограничивая их доступ только к тем командам PowerShell, которые им необходимы для выполнения своей работы.
Источник
Группы угроз все чаще используют технику социальной инженерии под названием ClickFix, чтобы обманом заставить пользователей скопировать вредоносный код PowerShell и выполнить его самостоятельно. Несмотря на то, что для успеха требуется больше взаимодействия с пользователем, эта тактика была принята несколькими группами угроз в последние месяцы, что говорит о том, что она достаточно эффективна для избегания обнаружения по сравнению с использованием автоматизированных механизмов доставки полезной нагрузки.
Исследователи из компании по безопасности Proofpoint изначально наблюдали, как этот метод использовался еще в марте группой угроз, отслеживаемой как TA571, которая действует как посредник первоначального доступа в экосистеме киберпреступников. Компания окрестила технику ClickFix, поскольку ее приманкой были поддельные диалоговые окна с ошибками браузера с инструкциями о том, как исправить проблему.
Инструкции требуют от пользователей нажать кнопку, чтобы скопировать «исправление», а затем вставить его в диалоговое окно «Выполнить» Windows, которое можно открыть, нажав клавиши Windows+R, или в терминал PowerShell.
С тех пор было замечено множество вариаций этой техники, при этом поддельные ошибки имитировали Microsoft Word и даже специализированное транспортное и логистическое программное обеспечение, используемое в определенных секторах. Это говорит о том, что злоумышленники, использующие эту технику, сначала изучают свои целевые среды, чтобы определить, какое программное обеспечение могут использовать сотрудники.
«В частности, недавно было замечено, что злоумышленники используют поддельную технику ClickFix на тему CAPTCHA, которая якобы проверяет пользователя с помощью проверки «Подтвердите, что вы человек» (CAPTCHA)», — написали исследователи в новом отчете на этой неделе. «Большая часть активности основана на наборе инструментов с открытым исходным кодом под названием reCAPTCHA Phish, доступном на GitHub для «образовательных целей»».
Ложные оповещения по электронной почте
Оригинальные поддельные ошибки ClickFix отображались через браузер после того, как жертв обманом заставляли посещать скомпрометированные веб-сайты. Однако более новые версии также отправляются напрямую по электронной почте.Например, в одном случае пользователи получили фишинговое письмо с темой «Важное обновление программного обеспечения: требуется действие», которое включало закодированный код PowerShell и инструкции по его выполнению непосредственно в самом сообщении электронной почты. Вредоносный код был разработан для загрузки менеджера архивов 7zip вместе с защищенным паролем архивом .7z, который содержал вариант трояна удаленного доступа NetSupport.
В другой кампании фишинговые письма с такими темами, как бюджет, финансы, счета-фактуры и доставка, среди прочих, содержали HTML-вложения, которые при открытии отображали поддельные ошибки Microsoft Word, которые инструктировали пользователей выполнить код PowerShell для устранения проблемы. Кампания развернула вредоносное ПО Brute Ratel C4 и Latrodectus, последнее из которых стало новым фаворитом брокеров первоначального доступа.
Объединение ClickFix с reCAPTCHA Phish
В сентябре кампания по электронной почте, которая выдавала себя за команду безопасности GitHub, предупреждала получателей об уязвимостях, обнаруженных в их репозиториях. Жертвы были отправлены на поддельную страницу GitHub, где пользователям предлагалось пройти тест проверки CAPTCHA, нажав клавишу Windows+R, а затем CTRL+V и Enter.Это вставляло фрагмент вредоносного PowerShell в диалоговое окно «Выполнить», который заканчивался обычным текстом reCAPTCHA Verification ID, за которым следовал номер. Этот поддельный текст reCAPTCHA — единственная часть, которую пользователь мог бы увидеть при вставке, поскольку диалоговое окно «Выполнить» имеет ограниченное видимое пространство. Вредоносный код был разработан для развертывания варианта похитителя информации Lumma, который также используется в вредоносной бесплатной операции загрузки приложения AI.
В отдельной кампании ClickFix пользователи были атакованы фишинговым письмом, имитирующим швейцарский рынок электронной коммерции Ricardo, которое направляло пользователей на поддельный веб-сайт, использовавший тот же инструментарий reCAPTCHA Phish в сочетании с техникой ClickFix. Вредоносный код в этом случае инициировал более сложную цепочку атак, которая привела к установке AsyncRAT или PureLog Stealer. AsyncRAT широко использовался в течение 2023 года для атаки на ключевых сотрудников инфраструктуры США.
В октябре исследователи обнаружили еще одну кампанию ClickFix, которая использовала приманку на основе ChatGPT, обещающую пользователям доступ к сервису генератора подсказок. Мошеннический веб-сайт призывал пользователей присоединиться к сообществу ChatGPT, но использовал фишинговый инструмент reCAPTCHA и полезную нагрузку буфера обмена ClickFix, чтобы обманом заставить пользователей выполнить вредоносный код. Эта кампания использовала вредоносное ПО XWorm, которое также недавно использовалось в фишинговых атаках с участием вредоносных виртуальных жестких дисков.
Даже группы кибершпионажа, похоже, переняли технику ClickFix. К концу октября группа APT, отслеживаемая как UAC-0050, имеющая историю атак на организации из Украины, запустила фишинговую кампанию на украинском языке, которая использовала поддельные уведомления об общих документах, чтобы направлять пользователей на контролируемый злоумышленником веб-сайт. Веб-сайт использовал комбинацию reCAPTCHA Phish и ClickFix, чтобы обманом заставить пользователей запустить PowerShell в рамках CAPTCHA-вызова. Код использовал редко используемый похититель информации, получивший название Lucky Volunteer.
Смягчение
PowerShell, установленный в Windows по умолчанию, является очень мощным языком сценариев и средой, разработанной для упрощения и автоматизации задач системного администрирования. Из-за его широкого применения в атаках вредоносного ПО за последние 10 лет продукты безопасности отслеживают потенциально вредоносные вызовы PowerShell.Однако они часто ищут случаи, когда скрипты PowerShell выполняются другими процессами, поскольку именно так PowerShell обычно и используется не по назначению — как часть более крупной цепочки атак, например, запуск вредоносными макросами Microsoft Word или загрузка и выполнение вредоносного скрипта PowerShell для развертывания дополнительных полезных нагрузок.
С ClickFix пользователь вызывает PowerShell вручную и напрямую. Поскольку PowerShell имеет законное применение, такое поведение не обязательно подозрительно.
«Коварство этой техники в том, что злоумышленники наживаются на врожденном желании людей быть полезными и независимыми», — пишут исследователи. «Предоставляя то, что кажется и проблемой, и решением, люди чувствуют себя уполномоченными «исправить» проблему самостоятельно, без необходимости оповещать свою ИТ-команду или кого-либо еще, и это обходит защиту безопасности, заставляя человека заражать себя».
Одной из мер защиты от атак PowerShell является полное отключение функции на компьютерах сотрудников, но это может нарушить административные задачи, поэтому большинство организаций избегают этого. Вместо этого Microsoft рекомендует ограничить доступ к PowerShell только авторизованным пользователям и администраторам. Это можно сделать, включив политики Device Guard или Windows Defender Application Control.
Microsoft также рекомендует внедрить Just Enough Administration (JEA) — технологию PowerShell, которая позволяет ограничить полномочия учетных записей, используя принципы наименьших привилегий и ограничивая их доступ только к тем командам PowerShell, которые им необходимы для выполнения своей работы.
Источник
