Предупреждение: Фалшиви Google Meet страници разпространяват Infostealers в текущата кампания ClickFix

Възходът на зловредния софтуер продължава с нова мащабна кампания, наречена ClickFix, която използва фалшиви странициВъзходът на зловредния софтуер продължава с нова мащабна кампания, наречена ClickFix, която използва фалшиви страници

Възходът на зловредния софтуер продължава с нова мащабна кампания, наречена ClickFix, която използва фалшиви страници на Google Meet, за да разпространява инфостийлъри (infostealers) към потребителите на Windows и macOS. Според доклад на френската компания за киберсигурност Sekoia, този метод включва показване на фалшиви съобщения за грешки в уеб браузърите, които подвеждат потребителите да изпълнят злонамерен PowerShell код, заразявайки техните системи.

Какво представлява ClickFix?

ClickFix е част от нарастваща серия от кампании за кибератаки, като различни вариации на тази техника вече са известни под имената ClearFake и OneDrive Pastejacking. Зловредните актьори използват подвеждащи страници, които приличат на добре познати онлайн услуги, като Google Meet, Facebook и Zoom, за да подлъжат потребителите да изпълнят код, уж за отстраняване на проблеми с браузъра.

Ето някои от домейните, използвани в атаките:

• meet.google.us-join[.]com
• meet.googie.com-join[.]us
• meet.google.com-join[.]us
• meet.google.web-join[.]com
• us01web-zoom[.]us
• webroom-zoom[.]us

Тези страници имитират популярни уеб услуги като Google Meet, Facebook, Zoom и други, за да накарат потребителите да изпълнят PowerShell код. Зловредният код, който се изпълнява ръчно от потребителя, заобикаля много от съвременните системи за сигурност, тъй като не се стартира автоматично от зловреден файл, изтеглен на устройството.

Какви са последствията?

Windows:

Потребителите на Windows са жертва на инсталирането на инфостийлъри като StealC и Rhadamanthys, които са специализирани в кражбата на чувствителни данни като пароли и друга лична информация.

macOS:

Потребителите на macOS, от своя страна, са засегнати от подвеждащи DMG файлове, които инсталират злонамерен софтуер като Atomic, който също краде конфиденциална информация.

Как работи атаката?

1. Фалшив уебсайт: Потребителите са пренасочвани към фалшива Google Meet страница или подобен легитимен уебсайт.
2. Грешно съобщение за браузър проблеми: Изскача фалшиво съобщение за грешка, което предлага ръчно да изпълнят код в PowerShell или терминал.
3. Изпълнение на кода: Потребителят, вярвайки че решава проблем с браузъра, изпълнява предоставения код, който всъщност заразява системата с инфостийлър.

Социално инженерство в действие

ClickFix кампанията разчита основно на социално инженерство, за да манипулира потребителите. Важно е да отбележим, че нападателите успяват да заобиколят много защитни механизми, като се възползват от доверието на потребителите и тяхната липса на подозрение към добре изглеждащи уебсайтове.

Кой стои зад тези атаки?

Според източници, Sekoia свързва фалшивите страници на Google Meet с две киберпрестъпни групи: Slavic Nation Empire и Scamquerteo, които работят като подразделения на по-големи организации, известни като markopolo и CryptoLove. Тези групи споделят общи ресурси и инфраструктура за своите кампании.

ClickFix е поредният пример за това как киберпрестъпниците стават все по-креативни и успешни в своите атаки. Тъй като потребителите често се подвеждат от фалшиви страници на популярни онлайн услуги, е важно да бъдем внимателни и да не изпълняваме кодове, които ни се предлагат от неизвестни източници.

Как да се предпазим?

• Проверявайте URL адресите: Уверете се, че посещавате официални сайтове, като обръщате внимание на домейните.
• Не изпълнявайте код, предложен онлайн: Никога не изпълнявайте команди, които ви се предлагат от уеб страници без ясно разбиране какво правят.
• Използвайте защита от зловреден софтуер: Инсталирайте актуални антивирусни програми и други системи за киберсигурност, които да ви предпазят от атаки.

Останете информирани и бдителни срещу новите тактики за измами, за да защитите своята информация и устройства.