В начале года эксперты по информационной безопасности зафиксировали очередную атаку с использованием техники ClickFix. Этот метод социальной инженерии заставляет жертву самостоятельно выполнить вредоносную команду под видом установки обновления. На этот раз злоумышленники создали фишинговый сайт, который копирует страницу загрузки Microsoft Teams. После взаимодействия с сайтом пользователь видит поддельное уведомление о критическом обновлении для браузера Chrome.
Описание
Сайт размещён на домене teams-net-calls[.]com. Внешне он выглядит абсолютно легитимно: используются логотипы Microsoft, типовой интерфейс загрузки Teams. Однако вредоносная активность запускается не сразу. Пользователь должен кликнуть в любом месте страницы. Только тогда появляется всплывающее окно, предупреждающее о необходимости срочного обновления безопасности Chrome. Такой трюк помогает обойти автоматические системы анализа, которые не имитируют полное взаимодействие с элементами страницы.
После клика окно предлагает выполнить несколько простых действий: нажать Win+X, открыть PowerShell или терминал, вставить скопированную команду и нажать Enter. Человек сам запускает вредоносный код, поэтому традиционные предупреждения браузера о загрузке не срабатывают. Команда PowerShell загружает два архива. Первый - легитимный дистрибутив Node.js версии 7.10.1 с официального сайта nodejs.org. Это старая версия, но она официальная. Второй архив скачивается с домена instantwebupdate[.]com и содержит реальную полезную нагрузку.
Оба архива распаковываются в папку C:\ProgramData\. Затем скрыто через флаги -ExecutionPolicy Bypass и -WindowStyle Hidden запускается исполняемый файл node.exe с аргументом Update.js. Сам JavaScript-сценарий устроен необычно. В ходе анализа кампании выяснилось, что он использует большой массив слов, похожий на стихотворение, для маскировки встроенных двоичных данных. Вместо прямого хранения файлов злоумышленники сопоставляют слова с байтами и восстанавливают исполняемые модули во время выполнения.
В результате на диске создаётся папка C:\ProgramData\Microsoft Edge Updates Helper cgpIJPjs25zk\. В неё помещаются четыре файла: Microsoft Edge Updates Helper.exe, msvcp140.dll, vcruntime140.dll, vcruntime140_1.dll и cgpIJPjs25zk.bat. Основной исполняемый файл маскируется под компонент помощника Microsoft Edge. Динамические библиотеки msvcp140 и vcruntime являются легитимными компонентами Visual C++. Они нужны, чтобы программа корректно работала на целевой системе. BAT-файл прописывается в автозагрузку через ветку реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run с именем "Microsoft Edge Updates Helper". Так достигается закрепление в системе.
Статический анализ исполняемого файла показал интересные строки. Внутри обнаружены пути разработки, связанные с Revo Registry Cleaner и RevoSrp. Например, D:\Work_REVO\VSRevo\Windows\Projects\Registry Cleaner\ и упоминание "System restore point created successfully.", а также адрес revouninstaller.com. Это может указывать на то, что для создания вредоносного модуля использовались легальные инструменты или даже скомпрометированное ПО. Однако сами по себе DLL не являются вредоносными.
На момент изучения образца в самом EXE не найдено очевидных адресов командных серверов (C2). Большинство видимых URL-адресов относятся к инфраструктуре Microsoft и сертификатам DigiCert. Тем не менее вредоносная нагрузка способна загружать дополнительные модули, связываться с внешними ресурсами или передавать украденные данные.
Последствия такой атаки могут быть серьёзными. Жертва фактически передаёт злоумышленникам полный контроль над системой. С помощью скрытого доступа можно похищать учётные данные, перехватывать переписку, устанавливать программы-вымогатели или использовать компьютер для дальнейших атак внутри сети. Особую опасность представляет то, что пользователь самостоятельно выполняет команду PowerShell, обходя стандартные средства защиты браузера и антивируса.
Специалисты рекомендуют проявлять бдительность. Любое неожиданное уведомление об обновлении браузера, особенно при загрузке другого приложения, должно вызывать подозрение. Необходимо проверять домен в адресной строке. Вместо того чтобы нажимать на всплывающие окна, лучше открыть браузер вручную и проверить наличие обновлений в его настройках. Корпоративные системы могут блокировать выполнение PowerShell через политики ограниченного использования программ. Также полезно включить журналирование и оповещения о запуске PowerShell с подозрительными аргументами.
ClickFix остаётся одним из самых эффективных методов социальной инженерии, потому что он делает жертву соучастником атаки. Пользователям стоит запомнить простое правило: никогда не копировать и не выполнять команды из всплывающих окон, независимо от того, насколько убедительно они выглядят.
Индикаторы компрометации
Domains
- teams-net-calls.com
URLs
- https://instantwebupdate.com/get_update?i=77669
- https://nodejs.org/dist/v7.10.1/node-v7.10.1-win-x64.zip
SHA256
- 18cbbc60e8989d90a50dc9373f081cf36d783f38a0aec4cd6e45d4974aa8463d
- 7b8f70dd3bdae110e61823d1ca6fd8955a5617119f5405cdd6b14cad3656dfc7
- 8b94af60bb58bc1629edb3b4f6a86ccff5769bb9b96d8826f06686af2d7fc55f
- ff43e813785ee948a937b642b03050bb4b1c6a5e23049646b891a66f65d4c833
