Serangan ClickFix menggunakan layar Pembaruan Windows palsu untuk mendorong malware

Varian serangan ClickFix telah diamati di mana pelaku ancaman menipu pengguna dengan animasi Pembaruan Windows yang tampak realistis di halaman browser layar penuh dan menyembunyikan kode berbahaya di dalam gambar.

ClickFix adalah serangan rekayasa sosial di mana pengguna diyakinkan untuk menempelkan dan mengeksekusi kode atau perintah Command Prompt Windows yang menyebabkan berjalannya malware di sistem.

Serangan ini telah diadopsi secara luas oleh penjahat dunia maya di semua tingkatan karena efektivitasnya yang tinggi dan terus berkembang makin umpan canggih dan menipu.

Halaman browser layar penuh

Sejak 1 Oktober, para peneliti telah mengamati serangan ClickFix di mana kepura-puraan untuk menjalankan perintah berbahaya adalah menyelesaikan instalasi pembaruan keamanan Windows yang penting dan iming-iming “verifikasi manusia” yang lebih umum[[1, 2].

Halaman pembaruan palsu menginstruksikan korban untuk menekan tombol tertentu dalam urutan tertentu, yang menempelkan dan menjalankan perintah dari penyerang yang secara otomatis disalin ke clipboard melalui JavaScript yang berjalan di situs.

Laporan dari penyedia layanan keamanan terkelola Huntress mencatat bahwa varian ClickFix baru menghapus pencuri informasi LummaC2 dan Rhadamanthys.

Dalam satu varian, peretas menggunakan halaman verifikasi manusia, sementara di varian lain mereka mengandalkan layar Pembaruan Windows palsu.

Namun, dalam kedua kasus tersebut, pelaku ancaman menggunakan steganografi untuk menyandikan muatan akhir malware di dalam sebuah gambar.

“Daripada hanya menambahkan data berbahaya ke file, kode berbahaya dikodekan langsung dalam data piksel gambar PNG, mengandalkan saluran warna tertentu untuk merekonstruksi dan mendekripsi muatan dalam memori,” Huntress peneliti menjelaskan.

Pengiriman muatan akhir dimulai dengan menggunakan mshta Biner asli Windows untuk mengeksekusi kode JavaScript berbahaya.

Keseluruhan proses melibatkan beberapa tahapan yang menggunakan kode PowerShell dan rakitan .NET (Stego Loader) yang bertanggung jawab untuk merekonstruksi muatan akhir yang tertanam di dalam file PNG dalam keadaan terenkripsi.

Di dalam sumber daya manifes Stego Loader, terdapat blob terenkripsi AES yang sebenarnya adalah file PNG steganografik yang berisi kode shell yang direkonstruksi menggunakan kode C# khusus.

Peneliti Huntress memperhatikan bahwa pelaku ancaman menggunakan taktik penghindaran dinamis, yang biasa disebut ctrampoline, di mana fungsi titik masuk mulai memanggil 10.000 fungsi kosong.

Shellcode yang menyimpan sampel infostealer diekstraksi dari gambar terenkripsi dan dikemas menggunakan alat Donut yang memungkinkan eksekusi file VBScript, JScript, EXE, DLL, dan .NET di memori.

Setelah membongkar, peneliti Huntress dapat mengambil malware tersebut, yang dalam serangan yang dianalisis adalah LummaC2 dan Rhadamanthys.

Diagram di bawah ini berfungsi sebagai representasi visual tentang cara kerja keseluruhan serangan:

Varian Rhadamanthys yang menggunakan iming-iming Windows Update adalah pertama kali terlihat oleh para peneliti pada bulan Oktober, sebelum Operasi Endgame menghancurkan sebagian infrastrukturnya pada tanggal 13 November.

Huntress melaporkan bahwa operasi penegakan hukum mengakibatkan payload tidak terkirim lagi pada domain Pembaruan Windows palsu, yang masih aktif.

Agar tetap aman dari jenis serangan ClickFix ini, para peneliti merekomendasikan untuk menonaktifkan kotak Windows Run dan memantau rantai proses yang mencurigakan seperti penjelajah.exe hal ikan bertelur mshta.exe atau PowerShell.

Selain itu, saat menyelidiki insiden keamanan siber, analis dapat memeriksa kunci registri RunMRU untuk melihat apakah pengguna memasukkan perintah di kotak Windows Run.