Μια νέα επικίνδυνη απειλή έχει αρχίσει να εξαπλώνεται στο κυβερνοχώρο, που μιμείται μηνύματα πασίγνωστων προγραμμάτων, όπως το Google Chrome, το Microsoft Word και το OneDrive, με στόχο να κάνει τους χρήστες να εγκαταστήσουν κακόβουλο λογισμικό… μόνοι τους!
Περνώντας σε λεπτομέρειες, έρευνα του ProofPoint επισημαίνει αύξηση των ‘Self-Pwn’ επιθέσεων το τελευταίο διάστημα, τονίζοντας ότι ψεύτικες ειδοποιήσεις έχουν εξαπατήσει πολλούς χρήστες ώστε να εκτελέσουν κακόβουλες εντολές μέσω PowerShell και έτσι να θέσουν σε κίνδυνο τα συστήματά τους. Αυτή η αύξηση έχει αποδοθεί σε διάφορους φορείς απειλών όπως η νέα ομάδα επιθέσεων ClickFix και η γνωστή ομάδα TA571, διαβόητη για τη διανομή ανεπιθύμητων μηνυμάτων που οδηγούν σε μολύνσεις από κακόβουλο λογισμικό και ransomware.
Παραδοσιακά, οι επιθέσεις ClearFake χρησιμοποιούσαν overlays δημοφιλών websites που προέτρεπαν τους χρήστες να εγκαταστήσουν ψεύτικες ενημερώσεις του προγράμματος περιήγησής τους, οι οποίες στην πραγματικότητα εγκαθιστούσαν κακόβουλο λογισμικό. Σε αυτές τις νέες επιθέσεις, οι κακόβουλοι χρησιμοποιούν JavaScript σε συνημμένα αρχεία HTML και παραβιασμένους ιστότοπους, παρουσιάζοντας ψεύτικα error μηνύματα που εξαπατούν τους χρήστες ώστε να αντιγράψουν και να εκτελέσουν “fixes” μέσω PowerShell.
Οι αναλυτές της Proofpoint έχουν εντοπίσει τρεις διαφορετικές αλυσίδες επιθέσεων, η καθεμία από τις οποίες διαφέρει στα αρχικά της στάδια. Στην πρώτη οι χρήστες που επισκέπτονται εκτεθειμένους ιστότοπους συναντούν ένα σενάριο που φιλοξενείται στα Smart Chain συμβόλαια της Binance. Αυτό το σενάριο εμφανίζει μια ψεύτικη προειδοποίηση του Chrome, προτρέποντας τους χρήστες να εγκαταστήσουν ένα “root certificate” μέσω του PowerShell. Μόλις εκτελεστεί, η δέσμη ενεργειών επιβεβαιώνει την ευπάθεια της συσκευής και κατεβάζει πρόσθετα κακόβουλα φορτία, συμπεριλαμβανομένων των DarkGate, Matanbuchus και NetSupport.
Η δεύτερη μέθοδος, που συνδέεται με την εκστρατεία ClickFix, περιλαμβάνει παραβιασμένους ιστότοπους που δημιουργούν ένα iframe overlay με ένα άλλο ψεύτικο σφάλμα του Chrome. Οι χρήστες οδηγούνται και πάλι στην εκτέλεση μιας δέσμης ενεργειών PowerShell, με αποτέλεσμα παρόμοιες μολύνσεις κακόβουλου λογισμικού. Η τρίτη προσέγγιση χρησιμοποιεί επιθέσεις μέσω ηλεκτρονικού ταχυδρομείου και OneDrive, με συνημμένα αρχεία HTML που μιμούνται έγγραφα του Word, προτρέποντας τους χρήστες να εγκαταστήσουν μια επέκταση “Word Online”.
Όσο και αν μοιάζει αυτονόητο λοιπόν, σε καμία περίπτωση μην εκτελέστε PowerShell εντολές αν κάποια σελίδα σας εμφανίσει κάποιο μήνυμα όπως αυτά παρακάτω, ενώ πρέπει να είστε παρά πολύ προσεκτικοί και με τα συνημμένα αρχεία που κατεβάζετε από το e-mails σας.
Πηγή: unboxholics.com