Киберпреступники развернули масштабные атаки с применением методов социальной инженерии против тысяч организаций по всему миру. Их излюбленная тактика – заставить жертв запустить вредоносные скрипты PowerShell под видом решения якобы возникшей технической проблемы.
Главным образом схема эксплуатируется для заражения систем под управлением Windows. Злоумышленники используют поддельные уведомления об ошибках в популярных программах вроде Google Chrome, Microsoft Word и OneDrive. Когда пользователь посещает взломанный, но на первый взгляд легитимный веб-сайт, в его браузере появляется окно с уведомлением о возникшей проблеме.
Жертву просят нажать кнопку “исправить” и вставить отображаемый код в терминал PowerShell или диалоговое окно “Выполнить” в Windows.
Исследователи из Proofpoint выявили по крайней мере две преступные группировки, использующие этот метод атак. Одна из них, вероятно, распространяет вымогательское ПО.
По данным Proofpoint, группировка под названием TA571 использовала этот метод с 1 марта, а группа, стоящая за кампанией ClearFake, применяла его с начала апреля. Обе оставались активными в начале июня. Третья кампания, ClearFix, также протестировала этот вектор атаки с мая.
В ходе атак злоумышленники внедряют на легитимные сайты вредоносный скрипт, который размещается на блокчейне через смарт-контракты Binance Smart Chain (это называется EtherHiding). Затем этот сценарий загружает в браузере жертвы фальшивое предупреждающее окно, побуждающее установить “корневой сертификат” для решения вымышленной проблемы.
Сообщение содержит инструкции по копированию скрипта PowerShell и последующему ручному запуску на компьютере. Программа очищает кэш DNS, удаляет содержимое буфера обмена, отображает ложное сообщение и затем загружает и запускает еще один удаленный сценарий.
Удаленный скрипт выполняет серию проверок Windows Management Instrumentation, а затем устанавливает вредонос Lumma Stealer. Он, в свою очередь, загружает три вредоносных файла: Amadey Loader, загрузчик майнера криптовалюты XMRig с определенной конфигурацией и похитителя буферов обмена криптовалют, подменяющего адреса кошельков на адреса, контролируемые злоумышленниками.
В некоторых случаях Amadey Loader устанавливает другие вредоносные программы, включая Go, который, по мнению Proofpoint, является вредоносом JaskaGo, способным работать под управлением Windows и macOS.
В ходе кампании ClearFix использовалась аналогичная тактика. Преступники демонстрировали в браузере ложное сообщение об ошибке Google Chrome, вынуждали жертв открыть PowerShell и вставить вредоносный код. Это приводило к загрузке и запуску инфостилера Vidar Stealer.
В третьей кампании, организованной группировкой TA571, киберпреступники разослали более 100 000 фишинговых писем организациям по всему миру. Послания содержали вредоносное HTML-вложение, замаскированное под страницу Microsoft Word.
При открытии вложения жертва видела ложное сообщение о несуществующей проблеме с предупреждением, что якобы “расширение Word Online не установлено”. Письмо предлагало две опции: “Как исправить” и “Автоисправление”. При выборе “Как исправить” в буфер обмена компьютера копировалась зашифрованная в Base64 команда PowerShell с инструкцией открыть консоль PowerShell и щелкнуть правой кнопкой мыши для ее запуска.
А при нажатии “Автоисправление” через протокол search-ms загружался вредоносный файл “fix.msi” или “fix.vbs” с сервера злоумышленников, размещенного на WebDAV.
Если жертва запускала файл MSI, то устанавливался загрузчик Matanbuchus. А если файл VBS, то загружался и запускался вредоносный код DarkGate.
В Proofpoint предупреждают, что TA571 постоянно меняет фишинговые приманки и модифицирует цепочки своих атак. Исследователи предоставляют примеры индикаторов компрометации и рекомендует организациям обучать сотрудников распознавать подозрительную активность, особенно такие изощренные методы социальной инженерии.