تستخدم حملة توزيع البرامج الضارة الجديدة أخطاء Google Chrome وWord وOneDrive المزيفة لخداع المستخدمين لتشغيل “إصلاحات” PowerShell الضارة التي تعمل على تثبيت البرامج الضارة.
ولوحظ أن الحملة الجديدة تستخدم من قبل العديد من الجهات الفاعلة في مجال التهديد، بما في ذلك أولئك الذين يقفون وراء ClearFake، وهي مجموعة هجمات جديدة تسمى ClickFix، وممثل التهديد TA571، المعروف بالعمل كموزع للبريد العشوائي الذي يرسل كميات كبيرة من البريد الإلكتروني، مما يؤدي إلى الإصابة بالبرامج الضارة وبرامج الفدية. .
تستخدم هجمات ClearFake السابقة تراكبات مواقع الويب التي تطالب الزائرين بتثبيت تحديث مزيف للمتصفح يؤدي إلى تثبيت برامج ضارة.
تستخدم الجهات الفاعلة في مجال التهديد أيضًا JavaScript في مرفقات HTML ومواقع الويب المخترقة في الهجمات الجديدة. ومع ذلك، تعرض التراكبات الآن أخطاء مزيفة في Google Chrome وMicrosoft Word وOneDrive.
تطالب هذه الأخطاء الزائر بالنقر فوق زر لنسخ “إصلاح” PowerShell إلى الحافظة ثم لصقه وتشغيله في مربع حوار Run: أو موجه PowerShell.
“على الرغم من أن سلسلة الهجوم تتطلب تفاعلًا كبيرًا من قبل المستخدم لتكون ناجحة، إلا أن الهندسة الاجتماعية ذكية بما يكفي لتقديم ما يبدو وكأنه مشكلة حقيقية وحل حقيقي لشخص ما في وقت واحد، مما قد يدفع المستخدم إلى اتخاذ إجراء دون النظر إلى المخاطر،” يحذر أحد الباحثين. تقرير جديد من ProofPoint.
تشمل الحمولات التي شاهدتها Proofpoint DarkGate وMatanbuchus وNetSupport وAmadey Loader وXMRig وخاطف الحافظة وLumma Stealer.
يؤدي “إصلاح” PowerShell إلى ظهور برامج ضارة
لاحظ محللو Proofpoint ثلاث سلاسل هجومية تختلف بشكل أساسي في مراحلها الأولية، مع عدم نسب الأولى فقط بثقة عالية إلى TA571.
في هذه الحالة الأولى، المرتبطة بجهات التهديد وراء ClearFake، يقوم المستخدمون بزيارة موقع ويب مخترق يقوم بتحميل برنامج نصي ضار مستضافة على blockchain عبر عقود السلسلة الذكية الخاصة بـ Binance.
يقوم هذا البرنامج النصي بإجراء بعض الفحوصات ويعرض تحذيرًا مزيفًا من Google Chrome يشير إلى وجود مشكلة في عرض صفحة الويب. يطالب مربع الحوار بعد ذلك الزائر بتثبيت “شهادة جذر” عن طريق نسخ برنامج PowerShell النصي إلى حافظة Windows وتشغيله في وحدة تحكم Windows PowerShell (المسؤول).
المصدر: بروف بوينت
عند تنفيذ البرنامج النصي PowerShell، سيقوم بتنفيذ خطوات مختلفة للتأكد من أن الجهاز هدف صالح، ثم سيقوم بتنزيل حمولات إضافية، كما هو موضح أدناه.
- مسح ذاكرة التخزين المؤقت DNS.
- يزيل محتوى الحافظة.
- يعرض رسالة خادعة.
- يقوم بتنزيل برنامج PowerShell النصي البعيد الآخر، والذي يقوم بإجراء عمليات فحص مكافحة VM قبل تنزيل برنامج سرقة المعلومات.
المصدر: بروف بوينت
ترتبط سلسلة الهجوم الثانية بحملة “ClickFix” وتستخدم حقنة في مواقع الويب المخترقة التي تنشئ إطار iframe لتراكب خطأ مزيف آخر في Google Chrome.
يُطلب من المستخدمين فتح “Windows PowerShell (Admin)” ولصق الكود المقدم، مما يؤدي إلى نفس الإصابات المذكورة أعلاه.
وأخيرًا، تطالب سلسلة العدوى المستندة إلى البريد الإلكتروني والتي تستخدم مرفقات HTML التي تشبه مستندات Microsoft Word المستخدمين بتثبيت ملحق “Word Online” لعرض المستند بشكل صحيح.
تعرض رسالة الخطأ خيارات “كيفية الإصلاح” و”الإصلاح التلقائي”، مع “كيفية الإصلاح” لنسخ أمر PowerShell المشفر باستخدام Base64 إلى الحافظة، مع توجيه المستخدم إلى لصقه في PowerShell.
يستخدم “الإصلاح التلقائي” بروتوكول search-ms لعرض ملف “fix.msi” أو “fix.vbs” المستضاف على WebDAV على مشاركة ملف يتحكم فيها المهاجم عن بعد.
المصدر: بروف بوينت
في هذه الحالة، تقوم أوامر PowerShell بتنزيل وتنفيذ إما ملف MSI أو برنامج نصي VBS، مما يؤدي إلى إصابة Matanbuchus أو DarkGate، على التوالي.
وفي جميع الحالات، يستغل ممثلو التهديد قلة وعي أهدافهم بمخاطر تنفيذ أوامر PowerShell على أنظمتهم.
كما أنهم يستفيدون أيضًا من عدم قدرة Windows على اكتشاف وحظر الإجراءات الضارة التي بدأتها التعليمات البرمجية الملصقة.
تُظهر سلاسل الهجوم المختلفة أن TA571 يقوم بنشاط بتجربة طرق متعددة لتحسين الفعالية وإيجاد المزيد من مسارات العدوى لاختراق عدد أكبر من الأنظمة.