Zespół analityków z Huntress opublikował ostatnio raport, który pokazuje nową odsłonę ataków ClickFix. Tym razem oszuści przestali polegać na klasycznych alertach typu „human verification”. Zamiast tego serwują użytkownikowi coś, co wygląda jak zwykły, dobrze znany ekran aktualizacji Windows.
Malware w obrazku
Na początku ofiara trafia na stronę, która wygląda zwyczajnie, najpierw „human verification” (czy jesteś człowiekiem), a nierzadko teraz na coś dużo bardziej podstępnego: pełnoekranowy ekran „Windows Update”. Publikowany jako strona WWW, z animacją ładowania, z tłem znanym z systemu Windows robi wrażenie. Po „zakończeniu aktualizacji” użytkownik dostaje instrukcję: wciśnij Win+R, wklej skopiowaną komendę i naciśnij Enter. Typowy schemat ClickFix.
Najbardziej sprytna część tej kampanii to fakt, że prawdziwy malware nie przychodzi jako plik .exe czy dodatek do pobrania. Zamiast tego ukryty jest w zwykłym obrazie PNG. Badacze z Huntress znaleźli, że pixelowe dane obrazka zawierają zaszyfrowany shellcode. Ten obraz sam w sobie wygląda jak nieszkodliwy plik graficzny.
Gdy skrypt ładowany przez mshta/PowerShell dotrze do momentu uruchomienia loadera, kod wewnątrz obrazu jest dekodowany bezpośrednio do pamięci, a następnie wykonywany. Dzięki temu nie zostawia „śladów” na dysku, nie ma pliku .exe do przeskanowania, nie ma zwykłego instalatora. Wszystko dzieje się w pamięci.
Wykorzystane warianty malware to m.in. LummaC2 i Rhadamanthys – czyli złośliwe programy kradnące dane, często poświadczenia, czy inne informacje wartościowe
Dlaczego ClickFix w nowej formie jest niebezpieczny
ClickFix z samym skryptem w przeglądarce to już było groźne. Ale użycie steganografii i wstrzyknięcie kodu z obrazu to zmiana zasad gry. Ten atak łączy techniczną pomysłowość z psychologicznym naciskiem. Z jednej strony dostajesz obraz wyglądający jak część systemu więc nie wzbudza podejrzeń. Z drugiej – strona prosi Cię o kluczową czynność: wklejenie i uruchomienie komendy. To klik, który wiele zmienia.
Klasyczne rozwiązania bezpieczeństwa – skanery plików, podpisy, filtrowanie załączników są tu nieskuteczne. Nie ma downloadera, nie ma pliku do pobrania. Jest natomiast obraz i skrypt, który działa w pamięci. Trudniej to wykryć czy zablokować.
Dla firm lub użytkowników oznacza to, że równie ważne co zabezpieczenia techniczne, jest zaufanie do tego, co klikamy, co robimy, jak reagujemy. Nawet najlepszy antywirus może nie być wystarczający.
Na co zwracać uwagę, by nie dać się złapać
Jeśli zarządzasz komputerami firmowymi albo domowymi trzeba zauważyć kilka rzeczy. Po pierwsze, klasyczne podejście do zabezpieczeń może zawieść. AV, skanowanie plików, filtrowanie załączników to za mało. Używaj narzędzi EDR, które mogą wykrywać nietypowe procesy. Teraz zagrożenie może być ukryte w tym, co wygląda jak obrazek. Po drugie, mechanizm opiera się na tym, że użytkownik ręcznie wykonuje polecenie. To oznacza, że najważniejszym elementem obrony może być właśnie świadomość.
Dla firm szczególnie ważne jest ograniczenie możliwości wykonywania poleceń typu Win+R → wklej → Enter albo monitorowanie ich wykonywania. Tam, gdzie potrzebna jest kontrola nad maszynami, warto wdrożyć zasady, które minimalizują swobodę użytkownika. Krytyczne procesy, których nie da się cofnąć mogą stać się punktem wejścia dla atakujących.
Jeśli zobaczysz stronę, która udaje aktualizację, a przeglądarka Cię do tego zmusza to duży sygnał ostrzegawczy. Aktualizacje Windows pojawiają się zawsze przez system, nie przez stronę WWW. Fałszywa strona plus prośba o uruchomienie Run (Win + R) to klasyk ClickFix. Lepiej w tym momencie przerwać, zamknąć stronę, wyczyścić historię przeglądarki.
Co nauka z ClickFix mówi o bezpieczeństwie dziś
Z raportu Huntress można wysnuć parę praktycznych rekomendacji:
- edukuj użytkowników
- jeśli to możliwe ogranicz dostęp do opcji Uruchom albo blokuj możliwość uruchamiania poleceń ręcznych w systemach firmowych
- monitoruj nietypowe uruchomienia procesów np. mshta.exe, PowerShell, ładowania modułów .NET
Te działania nie dają gwarancji 100% ochrony ale ograniczają ryzyko. W połączeniu z odpowiednią kulturą bezpieczeństwa mogą powstrzymać wiele ataków opartych na socjotechnice.
Podsumowując
ClickFix z malware ukrytym w obrazach to przykład, że cyberprzestępcy stale zmieniają podejście. Już nie wystarczy wysłać pliku exe i liczyć, że ktoś go uruchomi. Teraz trzeba to „opakować” tak, by wyglądało jak coś normalnego – aktualizacja, weryfikacja, captcha. Trzeba wykorzystać zaufanie użytkownika, a potem techniki, które omijają klasyczne skanery.
To znaczy, że obrona musi być wielowarstwowa. Nie da się być bezpiecznym zakładając, że AV wszystko złapie. Trzeba edukacji, procedur, ograniczeń i ciągłej czujności.
| Źródła |
|---|
|
|
