ClickFix از کاربران با خطاهای جعلی و کدهای مخرب سوء استفاده می کند

ClickFix از کاربران با خطاهای جعلی و کدهای مخرب سوء استفاده می کند

یک تاکتیک جدید مهندسی اجتماعی به نام ClickFix ظاهر شده است که از پیام های خطای فریبنده برای ترغیب کاربران به اجرای کدهای م،ب استفاده می کند.

تیم تشخیص و تحقیقات تهدید Sekoia (TDR) اخیراً این تاکتیک را – که Proofpoint برای اولین بار در ماه مارس کشف کرد – در گزارش جدیدی که اوایل امروز منتشر شد، تشریح کرد. این رویکرد که ClearFake نام دارد، کاربران را تشویق می کند تا دستورات م،ب PowerS، را کپی و اجرا کنند و مجرمان سایبری را قادر می سازد دستگاه های کاربران را آلوده کنند.

ClickFix از پیام‌های خطای جعلی در چندین پلتفرم مانند Google Meet و Zoom سوء استفاده می‌کند و اغلب از اعلان‌های خطا در صفحات ویدئو کنفرانس تقلید می‌کند تا کاربران را فریب دهد.

وقتی کاربران سعی می‌کنند «اشکال» را عیب‌یابی کنند، ناخواسته زنجیره‌ای از دستورات را آغاز می‌کنند و ب،زار را روی دستگاه‌های خود دانلود می‌کنند. فراتر از پلتفرم‌های ویدئویی، ClickFix از صفحات جعلی CAPTCHA استفاده می‌کند که کاربران را به انجام مراحلی که کدهای م،ب را فعال می‌کند، انجام می‌دهد و باعث عفونت در سیستم‌های Windows و macOS می‌شود.

زنجیره های عفونت مختلف برای ویندوز و macOS

ClickFix تاکتیک های خود را با سیستم عامل های مختلف تطبیق می دهد و از رفتارهای منحصر به فرد هر یک بهره می برد. برای مثال، در macOS، کاربر، که روی پیام «رفع مشکل» کلیک می‌کنند، از طریق مراحلی هدایت می‌شوند که دانلود و نصب خودکار ب،زار در قالب dmg. را آغاز می‌کند.

در ویندوز، ClickFix به دستور م،ب mshta یا PowerS،، بسته به مجموعه آلودگی مورد استفاده، متکی است. عفونت های مبتنی بر mshta از VBScript تعبیه شده در برنامه HTML استفاده می کنند، در حالی که دستورات PowerS، مستقیماً از ورودی کاربر اجرا می شوند.

این عفونت‌های ویندوز اغلب به ،وان روال‌های عیب‌یابی پنهان می‌شوند و به‌طور خاص طوری طراحی شده‌اند که گویی از یک فرآیند قانونی Explorer.exe ناشی می‌شوند و شناسایی ب،زار را دشوار می‌کنند.

ClickFix همچنین از GitHub و وب‌سایت‌های مشکوک استفاده می‌کند، جایی که کاربران اغلب با زنجیره‌های تغییر مسیری که آنها را به سمت CAPTCHAهای جعلی هدایت می‌کنند، مواجه می‌شوند. این صفحات فیشینگ از اسکریپت ساده PowerS، استفاده می کنند که تشخیص آن دشوار است اما موثر است.

درباره شناسایی ب،زار بیشتر بخو،د: هوش مصنوعی نرخ شناسایی ب،زار را تا 70 درصد افزایش می‌دهد

تکنیک های تشخیص و پیشگیری

تشخیص ClickFix به ابزارهای تخصصی نیاز دارد. تیم TDR نظارت بر موارد زیر را پیشنهاد می کند:

  • پردازش های PowerS، و bitsadmin با mshta.exe به ،وان فرآیند اصلی

  • خطوط فرمان حاوی URL هایی هستند که ممکن است نشان دهنده دانلود م،ب باشد

  • فعالیت های شبکه که شامل اتصالات PowerS، به دامنه های کم شیوع یا مشکوک است

سکویا گفت: «،یب این تکنیک‌های تشخیص با اطلاعات تهدید، مک،سم‌های دفاعی را در برابر این تکنیک‌های پیچیده مهندسی اجتماعی تقویت می‌کند.

با تکامل این فناوری، ما به ردیابی زیرساخت های تحویل و توسعه قابلیت های تشخیص خود برای کاهش خطرات مرتبط با این تهدید ادامه خواهیم داد.

منبع: https://www.infosecurity-magazine.com/news/clickfix-fake-errors-malicious-code/