За последние несколько месяцев появилось множество кампаний, использующих метод «ClickFix» для распространения вредоносного ПО. Вредоносная реклама Google является одним из способов доставки, при этом злоумышленники используют поддельные CAPTCHA или страницы проверки трафика. В связи с этим, была замечена кампания по распространению вредоносного ПО DarkGate, направленная на бренд Notion.
Описание
Вредоносная рекламная кампания начинается с перенаправления на страницу «Verify you are human», которая является подделкой турникета Cloudflare. HTML-код на странице был обфусцирован и содержал комментарии на русском языке, зашифрованные методом Rot13. После прохождения проверки, пользователю предлагается вставить комбинацию клавиш, которая на самом деле запускает вредоносную команду PowerShell.
Загруженный из командной строки файл запускает исполняемый файл AutoIt, в котором содержится конфигурация вредоносного ПО DarkGate. Конфигурация включает адреса C2, порт, настройки проверки системы и дополнительные параметры.
Второй способ доставки вредоносного ПО включает вредоносную рекламу, на сайте-подобии которого пользователей обманывают для загрузки исполняемого файла. Этот файл также содержит AutoIt-скрипт с той же конфигурацией DarkGate.
Интересно отметить, что та же учетная запись GitHub, используя ранее отозванную цифровую подпись, распространяла другое вредоносное ПО под названием Warmcookie (также известное как Badspace).
Indicators of Compromise
Domains
- notionbox.org
- s2notion.com
SHA256
- 4fe8bbc88d7a8cc0eec24bd74951f1f00b5127e3899ae53de8dabd6ff417e6db
- 6b6676267c70fbeb3257f0bb9bce1587f0bdec621238eb32dd9f84b2bcd7e3ea
