Hrozby využívají falešné webové stránky Google Meet v rámci probíhající malwarové kampaně nazvané ClickFix k šíření infostealerů zaměřených na systémy Windows a macOS.
„Tato taktika spočívá v zobrazování falešných chybových zpráv ve webových prohlížečích s cílem oklamat uživatele, aby zkopírovali a spustili daný škodlivý kód PowerShell a nakonec infikovali své systémy,“ uvedla francouzská společnost Sekoia, která se zabývá kybernetickou bezpečností, ve zprávě sdílené s The Hacker News.
Varianty kampaně ClickFix (známé také jako ClearFake a OneDrive Pastejacking) byly v posledních měsících hojně uváděny, přičemž aktéři hrozeb využívají různá lákadla k přesměrování uživatelů na falešné stránky, jejichž cílem je nasadit malware tím, že návštěvníky stránek vyzvou ke spuštění zakódovaného kódu PowerShell, který má řešit údajný problém se zobrazováním obsahu ve webovém prohlížeči.
Je známo, že tyto stránky se vydávají za populární online služby, včetně Facebooku, prohlížeče Google Chrome, PDFSimpli a reCAPTCHA, a nyní také za Google Meet a potenciálně i za Zoom.
meet.google.us-join[.]com
meet.googie.com-join[.]us
meet.google.com-join[.]us
meet.google.web-join[.]com
meet.google.webjoining[.]com
meet.google.cdm-join[.]us
meet.google.us07host[.]com
googiedrivers[.]com
us01web-zoom[.]us
us002webzoom[.]us
web05-zoom[.]us
webroom-zoom[.]us
V systému Windows řetězec útoku vrcholí nasazením stealerů StealC a Rhadamanthys, zatímco uživatelům systému Apple macOS je servírován soubor obrazu disku („Launcher_v1.94.dmg“) s nástražným systémem, který vypouští další stealer známý jako Atomic.
Tato nově se objevující taktika sociálního inženýrství je pozoruhodná tím, že se chytře vyhýbá detekci bezpečnostními nástroji, protože spočívá v tom, že uživatelé ručně spustí škodlivý příkaz PowerShell přímo v terminálu, na rozdíl od automatického vyvolání jimi staženým a spuštěným payloadem.
Sekoia přisoudil klastr vydávající se za Google Meet dvěma skupinám překupníků, a to Slavic Nation Empire (alias Slavice Nation Land) a Scamquerteo, což jsou dílčí týmy v rámci markopolo, respektive CryptoLove.
„Oba týmy používají stejnou šablonu ClickFix, která se vydává za Google Meet,“ uvedl Sekoia. „Toto zjištění naznačuje, že tyto týmy sdílejí materiály, známé také jako „landing project“, a také infrastrukturu.“
To zase vyvolalo spekulace, že obě skupiny hrozeb využívají stejnou, zatím neznámou službu kybernetické kriminality, přičemž jejich infrastrukturu pravděpodobně spravuje třetí strana.
Tento vývoj přichází v době, kdy se objevily malwarové kampaně distribuující open-source stealer ThunderKitty, který má společné překryvy se Skuldem a Kematian Stealerem, a také nové rodiny stealerů s názvy Divulge, DedSec (aka Doenerium), Duck, Vilsa a Yunit.
„Vzestup infostealerů s otevřeným zdrojovým kódem představuje významný posun ve světě kybernetických hrozeb,“ uvedla společnost Hudson Rock, která se zabývá kybernetickou bezpečností, již v červenci 2024.
„Snížením vstupní bariéry a podporou rychlých inovací by tyto nástroje mohly podnítit novou vlnu počítačových infekcí, což představuje výzvu pro odborníky na kybernetickou bezpečnost a zvyšuje celkové riziko pro podniky i jednotlivce.“
Aktualizace
Společnost Qualys, která se zabývá kybernetickou bezpečností, podrobně popsala novou kampaň ClickFix, která využívá lákadla CAPTCHA-verifikace na falešných webových stránkách, aby uživatele přiměla ke zkopírování a spuštění skriptu PowerShell v kódování Base64 pomocí dialogového okna Spustit v systému Windows.
Skript PowerShell je nakonfigurován tak, aby načetl vzdálené užitečné zatížení, které následně spustí další skript PowerShell, jenž stáhne a spustí Lumma Stealer pomocí techniky známé jako process hollowing, aby se vyhnul detekci.
„Vyšetřování Lumma Stealer odhaluje vyvíjející se prostředí hrozeb, které se vyznačuje schopností malwaru přizpůsobit se a vyhnout se detekci,“ uvedl výzkumník společnosti Qualys Vishwajeet Kumar. „Používá různé taktiky, od využití legitimního softwaru až po klamné metody doručení, což z něj činí trvalou výzvu pro bezpečnostní týmy.“
Společnost GoDaddy a její dceřiná společnost Sucuri rovněž varovaly, že tyto kampaně ClickFix se zaměřují na weby WordPress pomocí škodlivých zásuvných modulů (např. Advanced User Manager, Quick Cache Cleaner a universal-popup-plugin-v133), které doručují klamavé vyskakovací zprávy o opravě prohlížeče.
„Vyskakovací okno instruuje uživatele, aby „nainstaloval kořenový certifikát“ kliknutím na falešné tlačítko s nápisem Jak opravit,“ uvedl bezpečnostní výzkumník Puja Srivastava. „Po kliknutí na toto tlačítko se zobrazí nové vyskakovací okno s podrobnými pokyny pro spuštění škodlivých příkazů v prostředí PowerShell.“
„Uživatelé, kteří nevědomky spustí tento skript PowerShellu, nakonec stáhnou a spustí trojského koně, což může mít vážné následky, například krádež dat, vzdálené ovládnutí počítače a/nebo další zneužití.“
Odhaduje se, že k dnešnímu dni bylo tímto způsobem infikováno více než 6 000 webů WordPress, přičemž aktéři hrozby využívají k instalaci podvodných zásuvných modulů ukradené pověření správce. Existují důkazy, které naznačují, že na vytváření zásuvných modulů se podílí určitá úroveň automatizace vzhledem ke shodě v konvencích pojmenování a metadatech.
V současné době není jasné, jakým způsobem jsou pověření správce WordPressu vůbec získávána, ale mezi potenciální vektory patří útoky hrubou silou, phishing a kampaně na krádež informací zaměřené na získání uživatelských jmen a hesel.
„Po instalaci zásuvné moduly injektují škodlivý JavaScript obsahující známou variantu malwaru pro falešné aktualizace prohlížeče, který využívá blockchain a chytré smlouvy k získání škodlivého payloadu,“ uvedl Denis Sinegubko. „Po spuštění v prohlížeči JavaScript předkládá uživatelům falešná oznámení o aktualizaci prohlížeče, která je navedou k instalaci malwaru do počítače.“
Zdroj: thehackernews.com