O campanie recentă de atacuri cibernetice face uz de tehnica ClickFix pentru a compromite sisteme Windows printr-un lanț de atacuri în mai multe etape, combinând ingineria socială cu instrumente open-source modificate.

TL;DR

• Hackerii folosesc tacticile ClickFix pentru a ataca sistemele Windows
• Atacul începe cu un email de phishing ce conține un fișier HTML
• Utilizarea Microsoft Graph API ascunde traficul malițios
• Folosirea criptării AES îngreunează detectarea

Atacul ClickFix

Campania descrisă folosește o tehnică numită ClickFix, care exploatează dorința utilizatorilor de a rezolva probleme tehnice, convingându-i să ruleze comenzi malițioase. Atacul începe cu un email de phishing care pretinde a fi o notificare urgentă, ce conține un fișier HTML malițios. Fișierul induce utilizatorii să copieze și să ruleze un script PowerShell periculos.

Infrastructura malware

Hackerii folosesc versiuni modificate ale framework-ului open-source Havoc, similare cu Cobalt Strike, pentru a controla de la distanță sistemele compromise. Aceștia se folosesc de API-ul Microsoft Graph pentru a comunica prin servicii de cloud, imitând astfel traficul legitim.

Evitarea detectării

Prin integrarea logicii C2 direct în interacțiunile cu Microsoft Graph API și folosind criptare AES, atacul devine dificil de detectat prin metode tradiționale. Această integrare permite hackerilor să submineze încrederea în serviciile SharePoint și Office 365.

Prevenție și recomandări

Pentru a preveni astfel de atacuri, utilizatorii ar trebui să fie instruiți să recunoască tentativele de phishing și să fie atenți la cereri neobișnuite de a rula comenzi în terminal. De asemenea, se recomandă monitorizarea anomaliilor în crearea fișierelor pe SharePoint și limitarea execuției PowerShell în contexte non-admin.

Sursa articolului:

https://cybersecuritynews.com/clickfix-tactic-to-attack-windows-machine/