Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Ransomware-группировка использует ClickFix для атак на компании

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.

Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.

Как Interlock использует ClickFix для распространения вредоносного ПО

Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.

При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).

Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.

На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда

PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.

В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Warlocktv
      Ransomware Phobos
      Автор Warlocktv
      Добрый день,
      Через RDP словили шифровальщик Phobos (на основании ID Ransomware https://id-ransomware.malwarehunterteam.com/identify.php?case=52c4281ece07330467137e30a150ae4130e52132).
      Отчеты Recorded Future Triangle https://tria.ge/241216-tdxdrsvpek и Joe Sand Cloud https://www.joesandbox.com/analysis/1576226/1/executive.
      Зараженные системы удалены. Остались зараженные файлы которые требуется дешифровать. Необходима помощь. В архиве два зараженных файла и сообщения от шифровальщиков.Encrypted.zip
    • KL FC Bot
      Ransomware-группировка Fog публикует IP-адреса жертв | Блог Касперского
      Автор KL FC Bot
      Мы внимательно следим за изменениями тактик злоумышленников. Недавно эксперты Глобального центра исследования и анализа угроз Kaspersky GReAT обратили внимание, что после атак шифровальщика-вымогателя Fog преступники публикуют не только украденные данные жертв, но и IP-адреса пострадавших компьютеров. Ранее мы не замечали такой тактики у шифровальщиков. В данной статье рассказываем, почему это важно и какова цель этого приема.
      Кто такие Fog и чем они известны
      С тех пор как бизнес шифровальщиков-вымогателей стал превращаться в полноценную индустрию, у злоумышленников наблюдается четко оформленное разделение труда. Сейчас создатели шифровальщика и люди, стоящие непосредственно за атаками, чаще всего никак не связаны — одни разрабатывают платформу для шантажа, а другие просто покупают услуги по модели Ransomware-as-a-Service (RaaS).
      Fog Ransomware — одна из таких платформ, впервые замеченная в начале 2024 года. Их шифровальщики используются для атак на компьютеры под управлением Windows и Linux. Как это обычно происходит в последние годы, данные на атакованных машинах не только шифруются, но и закачиваются на серверы злоумышленников, а затем, если жертва отказывается платить, публикуются на Tor-сайте.
      Атаки с использованием Fog проводились против компаний, работающих в сферах образования, финансов и организации отдыха. Часто для проникновения в инфраструктуру жертвы преступники использовали ранее утекшие учетные данные для доступа через VPN.
       
      View the full article
    • specxpilot
      proton ransomware Не появилась ли возможность рашифровать?
      Автор specxpilot
    • KL FC Bot
      Как мошенники используют настоящие бизнес-уведомления Microsoft
      Автор KL FC Bot
      Первый шаг на пути к успеху для киберпреступников при проведении почтовой атаки — добиться того, чтобы их письма попались на глаза потенциальным жертвам. Недавно мы уже рассказывали, как мошенники используют для этого уведомления от вполне легитимного сервиса для отправки больших файлов GetShared. Сегодня мы рассмотрим еще один вариант доставки вредоносных сообщений: в этой схеме злоумышленники научились добавлять свои сообщения в настоящие письма с благодарностью за оформление бизнес-подписки на Microsoft 365.
      Вполне легитимное письмо от Microsoft с сюрпризом
      Атака начинается с настоящего письма от Microsoft, в котором получателя благодарят за покупку подписки Microsoft 365 Apps for Business. Это письмо действительно отправляется с настоящего адреса компании microsoft-noreply@microsoft.com. Почтовый адрес с более надежной репутацией, чем этот, сложно себе представить, поэтому письмо без проблем проходит проверки любых почтовых сервисов.
      Еще раз — само письмо абсолютно настоящее. Его содержание соответствует стандартному уведомлению о совершении покупки. В случае с письмом со скриншота ниже Microsoft благодарит получателя за оформление 55 подписок на бизнес-приложения Microsoft 365 на общую сумму $587,95.
      Пример бизнес-уведомления от Microsoft, в котором злоумышленники вставили свое сообщение в разделе данных для выставления счета (Billing information)
       
      View the full article
    • Максим Субботин
      Распространение Антивируса Касперского компанией Ростелеком
      Автор Максим Субботин
      Позвонила девушка из маркетинга компании Ростелеком, предложила прислать смс на подключение ознакомительной версии Антивируса Касперский. Я вежливо отказался. Следом пришла смс с предложением зайти на сайт, согласиться с условиями подключения сервиса и получить ключ на подключение антивируса. Я не стал заходить на сайт, соглашаться с получением сервиса и получать ключ на подключение антивируса. Через некоторое время услуга Антивирус Касперского появился в списке услуг в личном кабинете, и пришел счет на его оплату. Удалить услугу из личного кабинета удалось только по звонку в службу продержки Ростелеком. Похоже, что таких как я очень много, так как в голосовом помощнике Ростелеком (8-800-707-12-12) даже предусмотрена отдельная цифра для отключения Антивируса Касперского ("для отключения АК нажмите цифру 5").
      Интересно, в компании Касперский знают, каким способом распространяется их продукт (сам по себе достаточно неплохой), и какой репутационный ущерб наносят сотрудники компании Ростелеком таким распространением компании Лаборатория Касперского.
       
       
×
×
  • Создать...