Pelaku ancaman kini menyalahgunakan permintaan DNS sebagai bagian dari serangan rekayasa sosial ClickFix untuk mengirimkan malware, sehingga ini merupakan penggunaan DNS pertama yang diketahui sebagai saluran dalam kampanye ini.
Serangan ClickFix biasanya menipu pengguna agar menjalankan perintah berbahaya secara manual dengan kedok memperbaiki kesalahan, menginstal pembaruan, atau mengaktifkan fungsionalitas.
Namun, varian baru ini menggunakan teknik baru di mana server DNS yang dikendalikan penyerang mengirimkan muatan tahap kedua melalui pencarian DNS.
Kueri DNS mengirimkan skrip PowerShell yang berbahaya
Dalam kampanye ClickFix baru yang dilihat oleh Microsoft, korban diinstruksikan untuk menjalankan perintah nslookup yang menanyakan server DNS yang dikendalikan penyerang, bukan server DNS default sistem.
Perintah tersebut mengembalikan kueri yang berisi skrip PowerShell berbahaya yang kemudian dijalankan pada perangkat untuk menginstal malware.
“Peneliti Microsoft Defender mengamati penyerang menggunakan pendekatan penghindaran lain pada teknik ClickFix: Meminta target untuk menjalankan perintah yang menjalankan pencarian DNS khusus dan mem-parsing respons Nama: untuk menerima muatan tahap berikutnya untuk dieksekusi,” demikian bunyi postingan X dari Microsoft Threat Intelligence.
Meskipun tidak jelas apa daya tariknya untuk mengelabui pengguna agar menjalankan perintah tersebut, Microsoft mengatakan serangan ClickFix menginstruksikan pengguna untuk menjalankan perintah di kotak dialog Windows Run.
Perintah ini akan mengeluarkan pencarian DNS untuk nama host “example.com” terhadap server DNS pelaku ancaman di 84[.]21.189[.]20 dan kemudian jalankan respons yang dihasilkan melalui penerjemah perintah Windows (cmd.exe).
DNS ini tanggapan mengembalikan bidang “NAMA:” yang berisi payload PowerShell kedua yang dijalankan pada perangkat.
Sumber: Microsoft
Meskipun server ini tidak lagi tersedia, Microsoft mengatakan bahwa perintah PowerShell tahap kedua mengunduh malware tambahan dari infrastruktur yang dikendalikan penyerang.
Serangan ini pada akhirnya mengunduh arsip ZIP yang berisi skrip berbahaya dan runtime Python yang melakukan pengintaian pada perangkat dan domain yang terinfeksi.
Serangan tersebut kemudian membangun kegigihan dengan menciptakan %APPDATA%WPy64-31401pythonscript.vbs dan sebuah %STARTUP%MonitoringService.lnk pintasan untuk meluncurkan file VBScript saat startup.
Muatan terakhir adalah trojan akses jarak jauh yang dikenal sebagai ModeloRAT, yang memungkinkan penyerang mengendalikan sistem yang disusupi dari jarak jauh.
Berbeda dengan serangan ClickFix biasa, yang biasanya mengambil payload melalui HTTP, teknik ini menggunakan DNS sebagai saluran komunikasi dan pementasan.
Dengan menggunakan respons DNS untuk mengirimkan skrip PowerShell yang berbahaya, penyerang dapat mengubah muatan dengan cepat sambil memadukannya dengan lalu lintas DNS normal.
Serangan ClickFix berkembang pesat
Serangan ClickFix telah berkembang pesat selama setahun terakhir, dengan pelaku ancaman bereksperimen dengan taktik pengiriman baru dan jenis muatan yang menargetkan berbagai macam sistem operasi.
Dilaporkan sebelumnya Kampanye ClickFix mengandalkan meyakinkan pengguna untuk menjalankan perintah PowerShell atau shell langsung di sistem operasi mereka untuk menginstal malware.
Dalam kampanye yang lebih baru, penyerang telah memperluas teknik mereka melampaui pengiriman muatan malware tradisional melalui web.
Misalnya, serangan ClickFix baru-baru ini yang disebut “Perbaikan Persetujuan” menyalahgunakan aplikasi Azure CLI OAuth untuk membajak akun Microsoft tanpa kata sandi dan melewati autentikasi multifaktor (MFA).
Dengan meningkatnya popularitas AI LLM untuk penggunaan sehari-hari, pelaku ancaman mulai menggunakannya berbagi halaman ChatGPT dan Grokserta Halaman Artefak Claudeuntuk mempromosikan panduan palsu untuk serangan ClickFix.
BleepingComputer juga melaporkan hari ini tentang sebuah novel Serangan ClickFix dipromosikan melalui komentar Pastebin yang menipu pengguna mata uang kripto agar mengeksekusi JavaScript berbahaya langsung di browser mereka saat mengunjungi bursa mata uang kripto untuk membajak transaksi.
Ini adalah salah satu kampanye ClickFix pertama yang dirancang untuk mengeksekusi JavaScript di browser dan membajak fungsionalitas aplikasi web daripada menyebarkan malware.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
