Уебсайтовете на повече от 100 автокъщи бяха открити със зловреден код на ClickFix, след като домейн на трета страна беше компрометиран при атака по веригата за доставки.
Като част от компрометирането участник в заплахата е заразил LES Automotive, услуга за споделено видео, уникална за търговските представителства, така че уебсайтовете, използващи услугата, да показват на посетителите си уебстраница ClickFix.
Атаката ClickFix разчита на зловреден код в уебстраницата, който показва подкана на потребителя с искане да поправи грешка или да изпълни повторно предизвикателство (reCAPTCHA), за да докаже, че е човек.
Когато потребителят щракне върху подкана, злонамерената команда се копира в клипборда, а освен това потребителят е инструктиран да извърши клавишни комбинации, които отварят подкана Windows Run, да постави копираната команда в подкана и да я изпълни.
Техниката на социалното инженерство се използва от няколко години, но започна да набира популярност сред киберпрестъпниците и APT през миналата година, като през последните няколко месеца се наблюдава рязък скок в приемането ѝ.
През октомври 2024 г. HHS предупреди за рускоговорящи киберпрестъпници, които използват техниката ClickFix в своите атаки поне от април 2024 г. насам.
ClickFix е била използвана за разпространение на устройства за кражба на информация и други видове зловреден софтуер сред потребители в различни сектори. Неотдавна Microsoft предупреди за широко разпространена кампания, насочена към хотелиерската индустрия.
Както предупреди изследователят в областта на сигурността Ранди Макин, посетителите на уебсайтовете на повече от 100 автокъщи, използващи LES Automotive, са били обект на кампания ClickFix, разпространяваща зловредния софтуер SectopRAT.
Атаката е използвала фалшивия вариант reCAPTCHA на ClickFix, като е разчитала на команди PowerShell за разполагане на полезен товар на машината на жертвата и в крайна сметка за заразяване с троянски кон за отдалечен достъп.
Кодът на JavaScript, предназначен за копиране на зловредния код в клипборда, открива McEoin, съдържа поне един коментар на руски език. Той отбелязва, че на потребителите често се подава доброкачествена версия на скрипта, което предполага, че инжектирането вероятно е извършено динамично.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
