یک تاکتیک جدید مهندسی اجتماعی به نام ClickFix ظاهر شده است که از پیام های خطای فریبنده برای ترغیب کاربران به اجرای کدهای م،ب استفاده می کند.
تیم تشخیص و تحقیقات تهدید Sekoia (TDR) اخیراً این تاکتیک را – که Proofpoint برای اولین بار در ماه مارس کشف کرد – در گزارش جدیدی که اوایل امروز منتشر شد، تشریح کرد. این رویکرد که ClearFake نام دارد، کاربران را تشویق می کند تا دستورات م،ب PowerS، را کپی و اجرا کنند و مجرمان سایبری را قادر می سازد دستگاه های کاربران را آلوده کنند.
ClickFix از پیامهای خطای جعلی در چندین پلتفرم مانند Google Meet و Zoom سوء استفاده میکند و اغلب از اعلانهای خطا در صفحات ویدئو کنفرانس تقلید میکند تا کاربران را فریب دهد.
وقتی کاربران سعی میکنند «اشکال» را عیبیابی کنند، ناخواسته زنجیرهای از دستورات را آغاز میکنند و ب،زار را روی دستگاههای خود دانلود میکنند. فراتر از پلتفرمهای ویدئویی، ClickFix از صفحات جعلی CAPTCHA استفاده میکند که کاربران را به انجام مراحلی که کدهای م،ب را فعال میکند، انجام میدهد و باعث عفونت در سیستمهای Windows و macOS میشود.
زنجیره های عفونت مختلف برای ویندوز و macOS
ClickFix تاکتیک های خود را با سیستم عامل های مختلف تطبیق می دهد و از رفتارهای منحصر به فرد هر یک بهره می برد. برای مثال، در macOS، کاربر، که روی پیام «رفع مشکل» کلیک میکنند، از طریق مراحلی هدایت میشوند که دانلود و نصب خودکار ب،زار در قالب dmg. را آغاز میکند.
در ویندوز، ClickFix به دستور م،ب mshta یا PowerS،، بسته به مجموعه آلودگی مورد استفاده، متکی است. عفونت های مبتنی بر mshta از VBScript تعبیه شده در برنامه HTML استفاده می کنند، در حالی که دستورات PowerS، مستقیماً از ورودی کاربر اجرا می شوند.
این عفونتهای ویندوز اغلب به ،وان روالهای عیبیابی پنهان میشوند و بهطور خاص طوری طراحی شدهاند که گویی از یک فرآیند قانونی Explorer.exe ناشی میشوند و شناسایی ب،زار را دشوار میکنند.
ClickFix همچنین از GitHub و وبسایتهای مشکوک استفاده میکند، جایی که کاربران اغلب با زنجیرههای تغییر مسیری که آنها را به سمت CAPTCHAهای جعلی هدایت میکنند، مواجه میشوند. این صفحات فیشینگ از اسکریپت ساده PowerS، استفاده می کنند که تشخیص آن دشوار است اما موثر است.
درباره شناسایی ب،زار بیشتر بخو،د: هوش مصنوعی نرخ شناسایی ب،زار را تا 70 درصد افزایش میدهد
تکنیک های تشخیص و پیشگیری
تشخیص ClickFix به ابزارهای تخصصی نیاز دارد. تیم TDR نظارت بر موارد زیر را پیشنهاد می کند:
-
پردازش های PowerS، و bitsadmin با mshta.exe به ،وان فرآیند اصلی
-
خطوط فرمان حاوی URL هایی هستند که ممکن است نشان دهنده دانلود م،ب باشد
-
فعالیت های شبکه که شامل اتصالات PowerS، به دامنه های کم شیوع یا مشکوک است
سکویا گفت: «،یب این تکنیکهای تشخیص با اطلاعات تهدید، مک،سمهای دفاعی را در برابر این تکنیکهای پیچیده مهندسی اجتماعی تقویت میکند.
با تکامل این فناوری، ما به ردیابی زیرساخت های تحویل و توسعه قابلیت های تشخیص خود برای کاهش خطرات مرتبط با این تهدید ادامه خواهیم داد.
منبع: https://www.infosecurity-magazine.com/news/clickfix-fake-errors-malicious-code/