Главная страница » IOC
0
4 месяца
IOC

Техника социальной инженерии ClickFix наводнила ландшафт угроз

security

Исследователи из компании Proofpoint обнаружили значительный рост использования техники социальной инженерии под названием ClickFix, которая обманным путем заставляет пользователей выполнять вредоносные команды PowerShell, что приводит к установке различных штаммов вредоносного ПО.


ClickFix

Впервые ClickFix был использован TA571 и кластером угроз под названием ClearFake. С тех пор многие злоумышленники взяли его на вооружение, выдавая себя за ряд известных программ и сервисов. Метод использует диалоговые окна с поддельными сообщениями об ошибках, которые предлагают пользователям «исправить» проблемы путем копирования и вставки команд, что приводит к загрузке таких вредоносных программ, как AsyncRAT, Danabot, DarkGate, Lumma Stealer и NetSupport. Метод ClickFix использовался в различных кампаниях, в том числе в одной из них, которая использовала поддельную CAPTCHA на основе инструментария с открытым исходным кодом под названием reCAPTCHA Phish, чтобы атаковать украинские государственные организации, и в другой, которая доставляла вредоносное ПО через уведомления GitHub. Также были замечены вредоносные рекламные кампании, например, одна из них использовала замануху на тему ChatGPT для распространения вредоносного ПО XWorm. Кроме того, в рамках кампании на украинском языке, предположительно связанной с UAC-0050, украинским организациям рассылались письма с HTML-вложениями, которые вели на целевую страницу ClickFix, что могло привести к распространению вредоносной программы Lucky Volunteer. По данным Proofpoint, эта техника не является исключительной для какого-либо злоумышленника или группы, но предпочитается финансово мотивированными злоумышленниками и предполагаемыми группами, занимающимися шпионажем, благодаря своей способности обходить традиционные меры безопасности, используя склонность человека к решению проблем.

Indicators of Compromise

IPv4

  • 185.91.69.119
  • 193.124.185.116
  • 193.124.185.117
  • 92.118.112.130

IPv4 Port Combinations

  • 185.147.124.40:4404

Domains

  • Bazarunet.com
  • eemmbryequo.shop
  • Greshunka.com
  • isomicrotich.com
  • keennylrwmqlw.shop
  • licenseodqwmqn.shop
  • promptcraft.online
  • reggwardssdqw.shop
  • relaxatinownio.shop
  • rilomenifis.com
  • tendencctywop.shop
  • tesecuuweqo.shop
  • Tiguanin.com

URLs

  • http://178.215.224.252/v10/ukyh.php
  • http://185.147.124.40/Capcha.html
  • http://188.119.113.152/x64_stealth.dll
  • http://31.214.157.49/A6DxMijz_hdKR2Jol_PIMar1Q8.txt
  • http://31.214.157.49/chrome.zip
  • https://github-scanner.com/l6E.exe
  • https://ricardo.aljiri.es/ricardo/captchaV4DE/
  • https://steamcommunity.com/profiles/76561199724331900
  • https://www.dropbox.com/scl/fi/z4vwx6uot2bwugh34fbvz/Captcha_V4ID882994ft.zip?rlkey=nuh8s42xr9mz2kzkonzwyseaa&st=vk2qu0te&dl=1

SHA256

  • 5d5b4f259ef3b3d20f6ef1a63def6dee9326efe2b7b7b7e474008aa978f1f19b
  • d737637ee5f121d11a6f3295bf0d51b06218812b5ec04fe9ea484921e905a207
  • d9ab6cfa60cc75785e31ca9b5a31dae1c33022bdb90cb382ef3ca823c627590d
  • e726d3324ca8b9a8da4d317c5d749dd0ad58fd447a2eb5eee75ef14824339cd5
Комментарии: 0
Похожие записи
0
1 месяц
IOC

ClickFix против традиционной загрузки в новой кампании DarkGate

security
За последние несколько месяцев появилось множество кампаний, использующих метод «ClickFix» для распространения вредоносного ПО. Вредоносная реклама Google является одним из способов доставки, при этом