„The IntLock Ransomware Gang“ dabar naudoja „ClickFix“ atakas, kurios apsimeta IT įrankiais, kad būtų galima pažeisti įmonių tinklus ir diegti failų inokromavimo kenkėjiškas programas įrenginiuose.
„ClickFix“ yra socialinės inžinerijos taktika, kai aukos yra apgaudinėjamos vykdyti pavojingas „PowerShell“ komandas savo sistemose, kad būtų tariamai ištaisyta klaida arba patikrinti save, todėl įdiegti kenkėjišką programą.
Nors tai nėra pirmas kartas, kai „ClickFix“ buvo susietas su „Ransomware“ infekcijomis, patvirtinimas apie blokavimą rodo didėjančią šios rūšies grėsmės veikėjų, naudojančių taktiką, tipų tendenciją.
„Interlock“ yra „Ransomware“ operacija, pradėta 2024 m. Rugsėjo pabaigoje, nukreipta į „FreeBSD“ serverius ir „Windows“ sistemas.
Manoma, kad „Interlock“ veikia kaip „Ransomware-A-A-Service“ modelis. Vis dėlto jis palaiko duomenų nutekėjimo portalą tamsiame internete, kad padidintų spaudimą aukoms, reikalaudamas mokėjimų nuo šimtų tūkstančių dolerių iki milijonų.
Nuo „ClickFix“ iki „Ransomware“
Anksčiau „Interlock“ naudojo netikrą naršyklę ir VPN klientų atnaujinimus, kad įdiegtų kenkėjiškų programų ir pažeidimų tinklus.
Pasak „Sekoia“ tyrėjų, „Interlock Ransomware“ gauja pradėjo naudoti „ClickFix“ išpuolius 2025 m. Sausio mėn.
„Interlock“ naudojo bent keturis URL, kad priglobtų padirbtus „Captcha“ raginimus, nurodančius lankytojams vykdyti komandą savo kompiuteryje, kad patikrintų save ir atsisiųstų reklamuotą įrankį.
Tyrėjai sako, kad jie aptiko kenksmingą „Captcha“ keturiose skirtingose svetainėse, imituodami „Microsoft“ arba „Advanced IP“ skaitytuvo portalus:
- „Microsoft-msteams“ (.) Com/Papildoma check.html
- „MicrostTeams“ (.) COM/PAPARETUOTAS PRIEMONĖS.HTML
- Ekologiliai (.) COM/PAPILDYTI PAGAL.HTML
- „AdvanceIpsCaner“ (.) COM/PAPARESTIKA-Check.html
Tačiau tik svetainė apsimetinėja išplėstiniu IP skaitytuvu – populiariu IP nuskaitymo įrankiu, kurį dažniausiai naudoja IT darbuotojai, paskatino atsisiųsti kenksmingą diegimo programą.
Šaltinis: Sekoia
Spustelėję mygtuką „Pataisykite“, nukopijuoja kenkėjiškos „PowerShell“ komandą aukos iškarpinėje. Jei jis bus vykdomas komandų eilutėje arba „Windows Run“ dialogo lange, jis atsisiųs 36 MB „Pyinstaller“ naudingą apkrovą.
Tuo pačiu metu teisėta „AdvanceIpsCanner“ svetainė atidaroma naršyklės lange, kad sumažintų įtarimą.
Kenkėjiška naudinga apkrova įdiegia teisėtą programinės įrangos, kuria apsimeta, kopiją, ir kartu vykdo įterptą „PowerShell“ scenarijų, veikiantį paslėptame lange.
Šis scenarijus užregistruoja „Windows“ registro raktą, kad būtų patvarumas, o po to renka ir išaukština sistemos informaciją, įskaitant OS versiją, vartotojo privilegijos lygį, vykdymo procesus ir turimus diskus.
„Sekoia“ pastebėjo komandą ir valdymą (C2), atsakydama įvairiomis naudingomis apkrovomis, įskaitant „Lummastealer“, „Berserkstealer“, „Keyloggers“ ir „The Clicock Rat“.
Pastarasis yra paprastas Trojos arklys, kurį galima dinamiškai sukonfigūruoti, palaikant failų eksfiltraciją, apvalkalo komandų vykdymą ir vykdant kenksmingus DLL.
Šaltinis: Sekoia
Po pradinio kompromiso ir žiurkių dislokavimo, „Interlock“ operatoriai naudojo pavogtus kredencialus, kad judėtų į šoną per RDP, o „Sekoia“ taip pat pamatė glaistą, anyDesk ir logmein, naudojamą kai kuriuose atakose.
Paskutinis žingsnis prieš „Ransomware“ vykdymą yra „Data Exfiltration“, kai pavogti failai buvo įkelti į užpuolikų kontroliuojamus „Azure BLOB“.
„Windows“ „Interlock“ variantas yra nustatytas (naudojant suplanuotą užduotį), kuris kasdien veikia kasdien, 18:00 val., Tačiau dėl failo plėtinio filtravimo, tai nesukelia kelių šifravimo sluoksnių, tačiau yra atleidimo priemonė.
„Sekoia“ taip pat praneša, kad išpirkos užrašas taip pat vystėsi, nes naujausiose versijose daugiau dėmesio skiriama teisiniam duomenų pažeidimo aspektui ir reguliavimo pasekmėms, jei pavogti duomenys bus paviešinti.
Šaltinis: „BleepingComputer“
„ClickFix“ išpuolius dabar priėmė daugybė grėsmės veikėjų, įskaitant kitas „Ransomware Gangs“ ir Šiaurės Korėjos įsilaužėlius.
Praėjusį mėnesį „Sekoia“ išsiaiškino, kad liūdnai pagarsėjusi Lozoriaus Šiaurės Korėjos įsilaužimo grupė naudoja „ClickFix“ atakas, skirtas darbo ieškantiems asmenims kriptovaliutų pramonėje.
