Investigadores da ProofPoint observaram múltiplas campanhas a usar estas tácticas. O grupo TA571 é conhecido por enviar grandes volumes de emails de spam que resultam em infecções por malware e ransomware. Anteriormente, os ataques ClearFake utilizavam avisos falsos de atualização do navegador para distribuir malware. Nesta campanha mais recente, os atacantes usam JavaScript em anexos HTML e sites comprometidos para exibir mensagens de erro falsas. Estes erros tentam levar os utilizadores a copiar uma "correcção" em PowerShell para a área de transferência e executá-la numa caixa de diálogo ou no PowerShell, fazendo parecer uma solução legítima para um problema.
A ProofPoint alerta que, embora este ataque exija uma interacção significativa do utilizador, a engenharia social é suficientemente inteligente para levar os utilizadores a agir sem considerar os riscos. As cargas maliciosas incluem diversos malwares, como o DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, e Lumma Stealer. Os investigadores observaram três métodos de ataque principais:
A segunda sequência de ataque, associada à ClickFix, utiliza sites comprometidos para criar um iframe que exibe um erro falso do Google Chrome. Os utilizadores são novamente aconselhados a executar um script PowerShell, resultando em infecções.
A terceira cadeia de ataque envolve infecções baseadas em emails com anexos HTML que se assemelham a documentos do Microsoft Word. Os utilizadores são direccionados para instalar uma extensão "Word Online" para visualizar o documento, que depois os tenta convencer a executar um comando PowerShell.
Em todos os casos, os atacantes exploram a falta de conhecimento dos utilizadores sobre os riscos de executar comandos PowerShell e a incapacidade do Windows de detectar estas acções maliciosas. Esta campanha mostra que o TA571 está a experimentar diferentes métodos para aumentar as suas taxas de sucesso e infectar mais sistemas.
Sem comentários:
Enviar um comentário (problemas a comentar?)