Исследователи зафиксировали новую разновидность атак ClickFix, в которых используется вредоносное расширение. Малварь маскируется под популярный блокировщик рекламы и намеренно вызывает сбои в работе браузера, чтобы вынудить жертву выполнить вредоносную команду.
Как пишут специалисты компании Huntress, новая схема получила название CrashFix. В ее основе лежит расширение NexShield, которое выдает себя за легитимный блокировщик рекламы uBlock Origin Lite. После установки расширение показывает пользователю фальшивое предупреждение о проблемах с безопасностью и предлагает исправить их через диалоговое окно Windows Run.
Атаки ClickFix построены на социальной инженерии. В классической версии таких атак жертв заманивают на вредоносные сайты и там обманом заставляют скопировать в буфер и выполнить некие команды PowerShell. То есть вручную заразить свою систему вредоносным ПО.
Злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением контента в браузере, имитируют BSOD или требуют, чтобы пользователь решил фальшивую CAPTCHA.
Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, которых убеждают выполнить PowerShell-команды, ранее ИБ-специалисты уже предупреждали и о кампаниях, направленных на пользователей macOS и Linux.
Механика атаки CrashFix проста: расширение копирует в буфер обмена вредоносные PowerShell-команды, якобы необходимые для «починки» браузера. Жертве остается только вставить содержимое буфера и запустить. Результат — заражение системы RAT-трояном ModeloRAT, но только если хост входит в домен.
Ключевой элемент атаки — DoS браузера. NexShield запускает функцию, которая создает chrome.runtime port connections в бесконечном цикле и исчерпывает ресурсы системы. В результате браузер начинает зависать и экстренно завершает работу. При перезапуске расширение демонстрирует жертве фейковое предупреждение с предложением просканировать систему для выявления проблемы.
Чтобы не вызвать подозрений у пользователя, NexShield выжидает час после установки перед активацией. DoS-атака на браузер начинается через 10 минут и повторяется каждые 10 минут, но только для тех пользователей, чей ID уже передан на управляющий сервер злоумышленников.
После запуска вредоносной команды в дело вступает легитимная утилита Windows Finger.exe, которая может собирать данные о пользователях на удаленных системах. Затем загружается вторичная полезная нагрузка, которая скачивает и запускает ModeloRAT — полнофункциональный Python-троян для удаленного доступа.
RAT выполняет разведку, закрепляется в системе и поддерживает выполнение команд, поступающих от операторов (включая обновление, загрузку дополнительных пейлоадов и внесение изменений в реестр).
По данным экспертов, стоящие за этой активностью злоумышленники группировки KongTuke в основном сфокусированы на взломе корпоративных сетей для получения доступа к Active Directory, внутренним ресурсам и конфиденциальным данным. Так, ModeloRAT не устанавливается на домашние компьютеры — механизм заражения хостов вне домена просто не реализован в CrashFix. Для хостов вне домена управляющий сервер возвращает сообщение «TEST PAYLOAD!!!!», что указывает либо на низкий интерес злоумышленников к обычным пользователям, либо на то, что кампания пока находится в стадии разработки.
Напомним, что KongTuke (она же 404 TDS, Chaya_002, LandUpdate808, TAG-124 и LandUpdate808) — сложная системы распределения трафика (TDS), которая приводит к заражению вредоносным ПО через многоступенчатый процесс, включающий использование ClickFix-атак и не только.
Эксперты пишут:
«CrashFix демонстрирует, что злоумышленники эволюционируют в области социальной инженерии. Выдавая себя за доверенный опенсорсный проект, намеренно выводя из строя браузер и предлагая фальшивое “лечение”, они создали цикл заражения, который эксплуатирует стресс пользователей».
В настоящее время расширение NexShield уже удалено из магазина Chrome Web Store. Пользователям, установившим расширение, рекомендуется провести полную очистку системы — простое удаление расширения не избавит от всех полезных нагрузок, включая ModeloRAT и другие скрипты.
