Pusat Keamanan Siber Australia (ACSC) memperingatkan organisasi mengenai kampanye malware yang sedang berlangsung menggunakan teknik rekayasa sosial ClickFix untuk mendistribusikan malware pencuri informasi Vidar Stealer.
ClickFix adalah teknik serangan rekayasa sosial yang menipu pengguna agar menjalankan perintah berbahaya, biasanya melalui CAPTCHA palsu atau perintah verifikasi browser yang ditampilkan di situs web yang disusupi atau berbahaya.
Serangan ini biasanya menipu pengguna agar menjalankan perintah PowerShell untuk melewati kontrol keamanan dan mengirimkan malware, biasanya pencuri informasi.
Organisasi dan entitas infrastruktur Australia menjadi sasaran serangan yang melibatkan situs WordPress yang disusupi dan dialihkan ke muatan berbahaya.
Pengguna yang mengunjungi situs web ini diperlihatkan verifikasi Cloudflare palsu atau permintaan CAPTCHA yang memerintahkan mereka untuk menyalin dan secara manual menjalankan perintah PowerShell berbahaya di sistem mereka, yang menyebabkan infeksi Vidar Stealer.
“Pusat Keamanan Cyber Australian Direktorat Sinyal Australia (ACSC ASD) telah mengamati aktivitas terkait ClickFix yang memanfaatkan infrastruktur yang dihosting WordPress untuk mendistribusikan malware Vidar Stealer,” demikian bunyinya. penasehat lembaga.
Vidar Stealer adalah keluarga malware pencuri informasi dan operasi malware-as-a-service (MaaS) yang muncul pada akhir tahun 2018.
Secara bertahap, VPN ini menjadi pilihan populer di kalangan penjahat dunia maya karena efektivitas biaya, kemudahan penerapan, dan kemampuan pencurian datanya yang luas. Ini menargetkan kata sandi browser, cookie, dompet mata uang kripto, informasi pengisian otomatis, dan detail sistem.
Hal ini telah diamati dalam serangan ClickFix, yang dipromosikan melalui Perbaikan Windows, video TikTokDan GitHub. Tahun lalu, pengembang merilis versi baru dengan kemampuan yang ditingkatkan.
ACSC mencatat bahwa Vidar menghapus file yang dapat dieksekusi setelah diluncurkan pada perangkat yang terinfeksi dan kemudian beroperasi dari memori sistem, mengurangi artefak forensik.
Ini mengambil alamat perintah-dan-kontrol (C2) melalui URL “dead-drop” menggunakan layanan publik seperti bot Telegram dan profil Steam, sebuah taktik yang telah lama digunakan. banyak digunakan di masa lalu tapi yang mana tetap efektif.
ACSC merekomendasikan agar organisasi membatasi eksekusi PowerShell dan menerapkan daftar izin aplikasi untuk mengurangi risiko serangan ini.
Administrator situs WordPress juga disarankan untuk menerapkan pembaruan keamanan yang tersedia untuk tema dan add-on, dan menghapus tema/plugin yang tidak digunakan dari platform mereka.
Buletin keamanan ACSC menyediakan indikator kompromi (IoC) untuk serangan-serangan ini, sehingga memungkinkan organisasi untuk menyiapkan pertahanan atau mendeteksi penyusupan.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.







