Исследователи обнаружили новую схему атак, которая сочетает метод ClickFix с поддельной CAPTCHA и использует подписанные скрипты Microsoft Application Virtualization (App-V) для распространения малвари Amatera.
Атаки ClickFix построены на социальной инженерии. В классической версии таких атак жертв заманивают на вредоносные сайты и там обманом заставляют скопировать в буфер и выполнить некие команды PowerShell. То есть вручную заразить свою систему вредоносным ПО.
Злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением контента в браузере, имитируют BSOD, замедляют работу браузера или требуют, чтобы пользователь решил фальшивую CAPTCHA.
Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, ИБ-специалисты уже не раз предупреждали и о кампаниях, направленных на пользователей macOS и Linux.
Как рассказывают эксперты компании BlackPoint Cyber, в данном случае атака выглядит следующим образом. Жертва попадает на фальшивую страницу с CAPTCHA, где ее просят вручную скопировать и запустить команду через Windows Run.
Скопированная команда эксплуатирует легитимный скрипт App-V под названием SyncAppvPublishingServer.vbs, который обычно используется для публикации и управления виртуализированными корпоративными приложениями. Скрипт запускается через доверенный системный бинарник wscript.exe и в итоге запускает PowerShell.
На начальном этапе малварь убеждается, что команду выполнили вручную, а также проверяет, что порядок выполнения соответствует ожидаемому, а содержимое буфера обмена не изменилось, избегая запуска в песочнице. Если обнаружены признаки среды для анализа, выполнение вредоноса просто зависает в бесконечном ожидании.
Если все проверки пройдены, малварь извлекает конфигурационные данные из публичного Google Calendar, где в одном из событий хранятся закодированные в base64 значения. На более поздних стадиях атаки через WMI создается скрытый 32-битный процесс PowerShell, который расшифровывает и загружает в память несколько встроенных пейлоадов.
Далее цепочка заражения переключается на стеганографию: зашифрованный PowerShell-пейлоад скрывается в PNG-изображениях, размещенных в публичных CDN, и извлекается динамически через API WinINet.
Данные пейлоада извлекаются методом LSB-стеганографии, расшифровываются, распаковываются через GZip и выполняются целиком в памяти. На финальном этапе PowerShell расшифровывает и запускает собственный шеллкод, который разворачивает в системе жертвы инфостилер Amatera.
После запуска на зараженной машине малварь подключается к жестко закодированному IP-адресу, получает endpoint-маппинги и ожидает дополнительных бинарных пейлоадов, которые доставляются через HTTP POST-запросы.
По данным исследователей, Amatera — классический инфостилер, способный собирать данные из браузеров и похищать учетные данные. В прошлом году исследователи из компании Proofpoint отмечали, что Amatera строится на исходном коде стилера ACR, активно развивается и распространяется по схеме malware-as-a-service («Малварь-как-услуга»). Операторы Amatera и раньше использовали ClickFix, но тогда пользователей заставляли напрямую выполнять PowerShell-команды.
