Se ha observado que los actores de amenaza aprovechan la táctica engañosa de ingeniería social conocida como ClickFix para desplegar un versátil con el nombre de Cornflake Cornflake. V3.
Mandiant, propiedad de Google, describió la actividad, que rastrea como UNC5518, como parte de un esquema de camino como servicio que emplea páginas Captcha falsas como señuelos para engañar a los usuarios para que proporcionen camino original a sus sistemas, que luego está monetizado por otros grupos de amenazas.
“El vector de infección original, denominado ClickFix, implica atraer a los usuarios a los sitios web comprometidos para copiar un script de PowerShell malvado y ejecutarlo a través del cuadro de diálogo Windows Run”, dijo Google en un mensaje publicado hoy.
Se evalúa que el camino proporcionado por UNC5518 está utilizado por al menos dos grupos de piratería diferentes, UNC5774 y UNC4108, para iniciar un proceso de infección en varias etapas y eliminar cargas avíos adicionales –
- UNC5774, otro corro motivado financieramente que ofrece Cornflake como una forma de implementar varias cargas avíos posteriores
- UNC4108, un actor de amenaza con motivación desconocida que usa PowerShell para implementar herramientas como Voltmarker y NetSupport Rat
La sujeción de ataque probablemente comience con la víctima que aterriza una página de demostración Captcha falsa a posteriori de interactuar con los resultados de búsqueda que emplean envenenamiento de optimización de motores de búsqueda (SEO) o anuncios maliciosos.
Luego se engaña al agraciado para ejecutar un comando Malvado PowerShell al iniciar el cuadro de diálogo Run Windows, que luego ejecuta la carga útil de la próxima etapa desde un servidor remoto. El script recientemente descargado verifica si se ejecuta en el interior de un entorno virtualizado y finalmente rejón Cornflake.v3.
Observado tanto en las versiones de JavaScript como en PHP, Cornflake.v3 es una puerta trasera que admite la ejecución de cargas avíos a través de HTTP, incluidos ejecutables, bibliotecas de enlace dinámico (DLL), archivos JavaScript, scripts de lotes y comandos de PowerShell. Todavía puede compendiar información básica del sistema y transmitirla a un servidor forastero. El tráfico se representa a través de los túneles de Cloudflare en un intento por evitar la detección.
“Cornflake.v3 es una interpretación actualizada de Cornflake.v2, que comparte una parte significativa de su saco de código”, dijo el investigador Mandiant Situación Galli. “A diferencia de V2, que funcionó nada más como un descargador, V3 presenta persistencia del host a través de una esencia de ejecución de registro y admite tipos de carga útil adicional”.
Ambas generaciones son notablemente diferentes de su progenitor, un descargador basado en C que utiliza sockets TCP para comunicaciones de comando y control (C2) y solo tiene la capacidad de ejecutar cargas de DLL.
La persistencia en el host se logra mediante cambios en el registro de Windows. Al menos tres cargas avíos diferentes se entregan a través de Cornflake.v3. Esto comprende una utilidad de inspección de Active Directory, un script para cosechar credenciales a través de Kerberoasting, y otra puerta trasera conocida como WindyTwist.SEA, una interpretación C de Windytwist que admite transmitir el tráfico TCP, proporcionando un shell inverso, comandos de ejecución y retirarse.
Todavía se han observado versiones seleccionadas de WindyTwist.SEA que intentan moverse lateralmente en la red de la máquina infectada.
“Para mitigar la ejecución de malware a través de ClickFix, las organizaciones deben deshabilitar el cuadro de diálogo Windows Ejecutar siempre que sea posible”, dijo Galli. “Los ejercicios de simulación regulares son cruciales para contrarrestar esta y otras tácticas de ingeniería social. Adicionalmente, los sistemas robustos de registro y monitoreo son esenciales para detectar la ejecución de las cargas avíos posteriores, como las asociadas con Cornflake.v3”.
El surgimiento de los kits de clicfix
El uso de ClickFix se ha elevado en popularidad entre los actores de amenazas durante el año pasado, ya que incomita a los usuarios para infectado sus máquinas con el pretexto de ayudar a resolver problemas técnicos menores, completar las verificaciones de demostración CaptCha al sobrevenir por el torniquín de Cloudflare, o falsificar un servidor de discordia que supuestamente necesita demostrar a un agraciado antiguamente de unirse.
Esto, a su vez, implica dar instrucciones a los usuarios que implican hacer clic en las indicaciones y copiar, pegar y ejecutar comandos directamente en el cuadro de diálogo Ejecutar Windows, Terminal de Windows, Windows PowerShell o MacOS Terminal, dependiendo del sistema operante utilizado.
“Oportuno a que ClickFix se pedestal en la intervención humana para exhalar los comandos maliciosos, una campaña que utiliza esta técnica podría exceder las soluciones de seguridad convencionales y automatizadas”, dijo Microsoft en un artículo detallado. “A menudo se combina con vectores de entrega como phishing, malvertimiento y compromisos de conducción, la mayoría de los cuales incluso se hacen sobrevenir por marcas y organizaciones legítimas para resumir aún más las sospechas de sus objetivos”.
La estratagema de ingeniería social ha sido adoptada por numerosos actores de amenazas para entregar información a los robadores de información (robador de lumma), troyanos de camino remoto (Xworm, Asyncrat, NetSupport Rat y Sectoprat), cargadores de malware (Latrodectus y Mintsloader), Rootkits (R77) y banking (Lampion).
Microsoft dijo que además ha observado varios actores de amenazas que venden a los constructores de ClickFix configurables (además llamados “Win + R”) en los foros populares del delito cibernético desde finales de 2024 desde cualquier lado de $ 200 a $ 1,500 por mes. Otras ofertas incluyen soluciones de una sola vez y en aposento, por ejemplo, el código fuente, la página de destino o la sarta de comandos utilizada para iniciar la infección, a los precios entre $ 200 y $ 500.
“Algunos de estos actores están agrupando a los constructores de ClickFix en sus kits existentes que ya generan varios archivos como LNK, JavaScript y SVG Files”, dijo el fabricante de Windows. “Los kits ofrecen creación de páginas de destino con una variedad de señuelos disponibles, incluida Cloudflare”.
“Todavía ofrecen la construcción de comandos maliciosos que los usuarios pegarán en el diálogo de Windows Run. Estos kits afirman avalar la derivación antivirus y protección web (algunos incluso prometen que pueden sobrevenir por stop la pantalla inteligente de Microsoft Defender), así como la persistencia de carga útil”.
Para contrarrestar los ataques de estilo ClickFix, se aconseja que los usuarios sean educados para identificar ataques de ingeniería social y tengan cuidado de lo que se está pegando en aplicaciones como Terminal o PowerShell. Se recomienda a las organizaciones que consideren utilizar navegadores administrados por la empresa, rodear las páginas web de la ejecución automáticamente de complementos flash y activar las políticas de archivos adjuntos seguros para mensajes entrantes.
Otros pasos incluyen –
Infección USB gotas Xmrig Miner
La divulgación se produce cuando la firma de inteligencia de amenazas detalló una campaña en curso que emplea unidades USB para infectar a otros anfitriones y desplegar mineros de criptomonedas desde septiembre de 2024.
“Esto demuestra la efectividad continua del camino original a través de unidades USB infectadas”, dijo Mandiant. “El bajo costo y la capacidad de evitar la seguridad de la red hacen que esta técnica sea una opción convincente para los atacantes”.
La sujeción de ataque comienza cuando se engaña a una víctima para ejecutar un senda de Windows (LNK) en la mecanismo USB comprometida. El archivo LNK da como resultado la ejecución de un script Visual Basic además emplazado en la misma carpeta. El script, por su parte, rejón un script por lotes para iniciar la infección –
- Desaliñadoun arrojador DLL C ++ para iniciar la ejecución de otros componentes maliciosos, como CutFail
- Cortadorun cuentagotas de malware C ++ responsable de descifrar e instalar malware en un sistema, como High Reps y Bobbench, así como bibliotecas de tercera
- Ruidososun descargador que recupera archivos adicionales para avalar la persistencia de Bobbench
- Balauna puerta trasera de C ++ que facilita el inspección, proporciona camino remoto al comunicarse con un servidor de saco de datos PostgreSQL y descargar XMRIG
- Xmrigun software de código libre para minería de criptomonedas como Monero, Dero y Ravencoin
“Bacenchs se propaga al infectar las unidades USB”, dijo Mandiant. “Escanea el sistema de unidades disponibles y luego crea un archivo por lotes, un archivo VBScript, un archivo de camino directo y un archivo DAT”.
