În ultimul an, escrocii au dezvoltat o nouă metodă de a infecta calculatoarele utilizatorilor neavizați. Această tehnică, denumită ClickFix, începe să devină din ce în ce mai comună, fiind încă necunoscută pentru mulți dintre potențialele victime. Metoda este rapidă, ocolește majoritatea protecțiilor la capătul rețelei (endpoint protections) și este eficientă atât pentru utilizatorii de macOS, cât și pentru cei de Windows.
ClickFix este adesea inițiat printr-un email trimis de un hotel la care victima are o rezervare în așteptare, folosind informații corecte despre înregistrare. În alte cazuri, atacurile ClickFix încep cu un mesaj pe WhatsApp. Uneori, utilizatorul primește un URL la începutul rezultatelor Google pentru o anumită căutare. Odată ce victima accesează site-ul malițios menționat, i se prezintă o provocare CAPTCHA sau alt pretext care necesită confirmarea utilizatorului. Utilizatorul este instruit să copieze un șir de text, să deschidă o fereastră de terminal, să-l lipească și să apese Enter.
După introducerea comenzii, textul determină PC-ul sau Mac-ul să viziteze pe ascuns un server controlat de escroci și să descarce malware. Apoi, dispozitivul instalează automat malware-ul, fără nicio indicație pentru victima vizată. Astfel, utilizatorii sunt infectați, de obicei, cu malware ce fură date de autentificare. Firmele de securitate susțin că campaniile ClickFix sunt în plină expansiune. Lipsa de conștientizare a acestei tehnici, combinată cu faptul că linkurile provin și de la adrese cunoscute sau din rezultatele căutărilor și capacitatea de a ocoli unele protecții la capătul rețelei, sunt toți factori care contribuie la creșterea acesteia.
„Această campanie subliniază faptul că folosirea malvertising-ului și a tehnicii de instalare cu o singură linie de comandă pentru distribuirea colectorilor de informații de pe macOS rămâne populară printre actorii eCrime,” au scris cercetătorii de la CrowdStrike într-un raport care documentează o campanie deosebit de rafinată destinată să infecteze Mac-uri cu un executabil Mach-O, un binar comun ce rulează pe macOS. „Promovarea site-urilor malițioase false încurajează mai mult trafic pe site, ceea ce va duce la mai multe victime potențiale. Comanda de instalare cu o singură linie permite actorilor eCrime să instaleze direct executabilul Mach-O pe mașina victimei, ocolind verificările Gatekeeper.”
Malware-ul principal instalat în acea campanie este un furător de credențiale denumit Shamos. Alte sarcini includ un portofel criptografic malițios, software pentru transformarea Mac-ului în parte a unei rețele botnet și modificări ale configurației macOS pentru a permite rularea malware-ului de fiecare dată când mașina repornește.
O altă campanie, documentată de Sekoia, a vizat utilizatorii de Windows. Atacatorii din spatele ei au compromis inițial un cont de hotel pentru Booking.com sau alt serviciu de călătorii online. Folosind informațiile stocate în conturile compromise, atacatorii contactează persoane cu rezervări în așteptare, o abilitate care construiește imediat încredere cu multe dintre victime, care sunt dornice să respecte instrucțiunile, de teamă să nu le fie anulate șederile.
Site-ul prezintă în cele din urmă o notificare falsă CAPTCHA care seamănă aproape identic cu cele necesare de rețeaua de livrare de conținut Cloudflare.
Poll: Care metoda de infectare a calculatoarelor prin intermediul ClickFix considerați a fi cea mai periculoasă?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply