Команда исследователей Cybersecuritynews обнаружила схему созданную с использованием социальной инженерии, которая эксплуатирует общественную потребность в бесплатном доступе к интернету, используя обманчивые порталы Wi-Fi, чтобы заставить пользователей скачивать и выполнять вредоносное ПО на основе PowerShell.
Целью атаки "Clickfix" является обмануть пользователя и скомпрометировать его систему под видом простого шага верификации.
Атака направлена на людей в общественных местах, таких как аэропорты, где обещание "Бесплатного Wi-Fi" является довольно большой приманкой. Неподозревающие пользователи, пытающиеся подключиться, перенаправляются на профессионально разработанный, но фейковый портал.
Эти страницы часто размещены на небезопасных IP-адресах, а не на легитимных доменах, имитируют реальные экраны входа в сеть, включая логотипы и CAPTCHA-подсказку, чтобы "доказать, что вы не робот", функция, предназначенная для создания ложного чувства безопасности.
Задум атаки Clickfix заключается в ее манипуляции поведением пользователя. После того как пользователь взаимодействует с фальшивой CAPTCHA, появляется всплывающее окно с набором "Шагов верификации".
Вместо простого клика инструкции ведут пользователя через определенную последовательность клавишных сокращений: нажать Ctrl+S, чтобы сохранить веб-страницу, перейти в окно загрузок браузера и нажать Enter, чтобы открыть файл.
Эта последовательность является социальной инженерией, предназначенной для обхода стандартных предупреждений браузера о загрузке исполняемых файлов.
Инструктируя пользователя сохранить страницу и запустить файл самостоятельно, атакующие эффективно получают согласие на выполнение вредоносного кода. Загружаемый файл не является изображением или документом, а скриптом, который инициирует заражение вирусом.
Анализ цепочки атаки в ANY.RUN Sandbox показывает, что этот скрипт действует как загрузчик, устанавливая соединение с сервером управления и команд для получения основного вредоносного ПО. В этой кампании полезная нагрузка была идентифицирована как сетевой троян.
PowerShell — мощный инструмент для атакующих, так как он интегрирован в Windows и может выполнять команды, скрипты и полезные нагрузки непосредственно в памяти, часто избегая обнаружения традиционными антивирусными решениями.
Этот тип безфайлового вредоносного ПО может использоваться для широкого спектра вредоносных действий, включая кражу конфиденциальной информации, развертывание вымогателей или предоставление постоянного бэкдора для удаленного доступа к компрометированному устройству.
Для защиты от этой угрозы пользователи должны быть бдительны при подключении к публичному Wi-Fi, тщательно проверять URL страниц входа и быть крайне осторожными с любым сайтом, требующим необычных клавишных команд для верификации.
- Источник: https://cybersecuritynews.com/clickfix-attack-free-wifi/
Целью атаки "Clickfix" является обмануть пользователя и скомпрометировать его систему под видом простого шага верификации.
Атака направлена на людей в общественных местах, таких как аэропорты, где обещание "Бесплатного Wi-Fi" является довольно большой приманкой. Неподозревающие пользователи, пытающиеся подключиться, перенаправляются на профессионально разработанный, но фейковый портал.
Эти страницы часто размещены на небезопасных IP-адресах, а не на легитимных доменах, имитируют реальные экраны входа в сеть, включая логотипы и CAPTCHA-подсказку, чтобы "доказать, что вы не робот", функция, предназначенная для создания ложного чувства безопасности.
Задум атаки Clickfix заключается в ее манипуляции поведением пользователя. После того как пользователь взаимодействует с фальшивой CAPTCHA, появляется всплывающее окно с набором "Шагов верификации".
Вместо простого клика инструкции ведут пользователя через определенную последовательность клавишных сокращений: нажать Ctrl+S, чтобы сохранить веб-страницу, перейти в окно загрузок браузера и нажать Enter, чтобы открыть файл.
Эта последовательность является социальной инженерией, предназначенной для обхода стандартных предупреждений браузера о загрузке исполняемых файлов.
Инструктируя пользователя сохранить страницу и запустить файл самостоятельно, атакующие эффективно получают согласие на выполнение вредоносного кода. Загружаемый файл не является изображением или документом, а скриптом, который инициирует заражение вирусом.
Анализ цепочки атаки в ANY.RUN Sandbox показывает, что этот скрипт действует как загрузчик, устанавливая соединение с сервером управления и команд для получения основного вредоносного ПО. В этой кампании полезная нагрузка была идентифицирована как сетевой троян.
PowerShell — мощный инструмент для атакующих, так как он интегрирован в Windows и может выполнять команды, скрипты и полезные нагрузки непосредственно в памяти, часто избегая обнаружения традиционными антивирусными решениями.
Этот тип безфайлового вредоносного ПО может использоваться для широкого спектра вредоносных действий, включая кражу конфиденциальной информации, развертывание вымогателей или предоставление постоянного бэкдора для удаленного доступа к компрометированному устройству.
Для защиты от этой угрозы пользователи должны быть бдительны при подключении к публичному Wi-Fi, тщательно проверять URL страниц входа и быть крайне осторожными с любым сайтом, требующим необычных клавишных команд для верификации.
- Источник: https://cybersecuritynews.com/clickfix-attack-free-wifi/
