Злоумышленники начали использовать DNS-запросы в рамках атак ClickFix с элементами социальной инженерии для доставки вредоносного ПО — это первый известный случай применения DNS в качестве канала распространения в подобных кампаниях.
Атаки ClickFix обычно основаны на том, что пользователей убеждают вручную выполнить вредоносные команды под предлогом исправления ошибок, установки обновлений или включения некой функциональности.
Однако в новом варианте используется нестандартная техника: DNS-сервер, контролируемый атакующим, передает полезную нагрузку второго этапа через DNS-запросы.
В ответ на запрос сервер возвращает данные, содержащие вредоносный PowerShell-скрипт, который затем выполняется на устройстве и устанавливает вредоносное ПО.
"Исследователи Microsoft Defender зафиксировали, что злоумышленники применяют еще один метод обхода защит в рамках техники ClickFix: они просят жертв выполнить команду, которая выполняет пользовательский DNS-запрос и извлекает полезную нагрузку следующего этапа из поля Name ответа для последующего выполнения", — говорится в сообщении Microsoft Threat Intelligence в X.
Хотя точный сценарий приманки, используемой для убеждения пользователей выполнить команду, не раскрывается, Microsoft сообщает, что жертвам предлагается запустить ее через диалоговое окно "Выполнить" в Windows.
Команда выполняет DNS-запрос для хоста "example.com" к DNS-серверу злоумышленника по адресу 84[.]21.189[.]20, а затем исполняет полученный результат через интерпретатор команд Windows (cmd.exe).
В ответе DNS содержится поле "NAME:", внутри которого находится PowerShell-команда второго этапа, выполняемая на устройстве жертвы.
Хотя данный сервер уже недоступен, Microsoft отмечает, что PowerShell-команда второго этапа загружала дополнительное вредоносное ПО с инфраструктуры злоумышленников.
В результате атаки на устройство загружается ZIP-архив, содержащий исполняемый файл среды выполнения Python и вредоносные скрипты, выполняющие разведку зараженного устройства и домена.
Далее вредоносное ПО обеспечивает закрепление в системе, создавая файл
и ярлык
который запускает VBScript при старте системы.
Финальной полезной нагрузкой является троян удаленного доступа ModeloRAT, позволяющий злоумышленникам удаленно управлять скомпрометированными системами.
В отличие от типичных атак ClickFix, где полезная нагрузка чаще всего загружается по HTTP, в данном случае DNS используется как канал управления и доставки.
Применение DNS-ответов для передачи вредоносных PowerShell-скриптов позволяет злоумышленникам динамически изменять полезную нагрузку, маскируясь при этом под обычный DNS-трафик.
Ранее зафиксированные кампании ClickFix основывались на убеждении пользователей вручную запускать PowerShell- или shell-команды для установки вредоносного ПО.
В более новых кампаниях злоумышленники расширили свои техники за пределы традиционной доставки вредоносных компонентов через веб.
Так, в одной из недавних атак ClickFix под названием "ConsentFix" злоумышленники злоупотребляли Azure CLI OAuth-приложением для захвата учетных записей Microsoft без пароля и обхода многофакторной аутентификации (MFA).
С ростом популярности ИИ-LLM для повседневного использования злоумышленники начали применять общедоступные страницы ChatGPT и Grok, а также страницы Claude Artifacts для распространения поддельных руководств, продвигающих атаки ClickFix.
Кроме того, BleepingComputer сегодня сообщил о новом варианте ClickFix-атаки, распространявшейся через комментарии на Pastebin. В ней пользователей криптовалют убеждали выполнить вредоносный JavaScript-код прямо в браузере при посещении криптовалютной биржи с целью перехвата транзакций.
Это одна из первых кампаний ClickFix, ориентированных на выполнение JavaScript в браузере и захват функциональности веб-приложений, а не на установку классического вредоносного ПО.
Источник
Атаки ClickFix обычно основаны на том, что пользователей убеждают вручную выполнить вредоносные команды под предлогом исправления ошибок, установки обновлений или включения некой функциональности.
Однако в новом варианте используется нестандартная техника: DNS-сервер, контролируемый атакующим, передает полезную нагрузку второго этапа через DNS-запросы.
DNS-запросы как канал доставки PowerShell-скрипта
В новой кампании ClickFix, зафиксированной Microsoft, жертвам предлагается выполнить команду nslookup, которая обращается не к системному DNS-серверу, а к DNS-серверу, контролируемому злоумышленником.В ответ на запрос сервер возвращает данные, содержащие вредоносный PowerShell-скрипт, который затем выполняется на устройстве и устанавливает вредоносное ПО.
"Исследователи Microsoft Defender зафиксировали, что злоумышленники применяют еще один метод обхода защит в рамках техники ClickFix: они просят жертв выполнить команду, которая выполняет пользовательский DNS-запрос и извлекает полезную нагрузку следующего этапа из поля Name ответа для последующего выполнения", — говорится в сообщении Microsoft Threat Intelligence в X.
Хотя точный сценарий приманки, используемой для убеждения пользователей выполнить команду, не раскрывается, Microsoft сообщает, что жертвам предлагается запустить ее через диалоговое окно "Выполнить" в Windows.
Команда выполняет DNS-запрос для хоста "example.com" к DNS-серверу злоумышленника по адресу 84[.]21.189[.]20, а затем исполняет полученный результат через интерпретатор команд Windows (cmd.exe).
В ответе DNS содержится поле "NAME:", внутри которого находится PowerShell-команда второго этапа, выполняемая на устройстве жертвы.
Хотя данный сервер уже недоступен, Microsoft отмечает, что PowerShell-команда второго этапа загружала дополнительное вредоносное ПО с инфраструктуры злоумышленников.
В результате атаки на устройство загружается ZIP-архив, содержащий исполняемый файл среды выполнения Python и вредоносные скрипты, выполняющие разведку зараженного устройства и домена.
Далее вредоносное ПО обеспечивает закрепление в системе, создавая файл
%APPDATA%\WPy64-31401\python\script.vbsи ярлык
%STARTUP%\MonitoringService.lnk,который запускает VBScript при старте системы.
Финальной полезной нагрузкой является троян удаленного доступа ModeloRAT, позволяющий злоумышленникам удаленно управлять скомпрометированными системами.
В отличие от типичных атак ClickFix, где полезная нагрузка чаще всего загружается по HTTP, в данном случае DNS используется как канал управления и доставки.
Применение DNS-ответов для передачи вредоносных PowerShell-скриптов позволяет злоумышленникам динамически изменять полезную нагрузку, маскируясь при этом под обычный DNS-трафик.
Эволюция атак ClickFix
За последний год атаки ClickFix стремительно эволюционировали: злоумышленники активно экспериментируют с новыми методами доставки и типами полезной нагрузки, нацеленными на различные операционные системы.Ранее зафиксированные кампании ClickFix основывались на убеждении пользователей вручную запускать PowerShell- или shell-команды для установки вредоносного ПО.
В более новых кампаниях злоумышленники расширили свои техники за пределы традиционной доставки вредоносных компонентов через веб.
Так, в одной из недавних атак ClickFix под названием "ConsentFix" злоумышленники злоупотребляли Azure CLI OAuth-приложением для захвата учетных записей Microsoft без пароля и обхода многофакторной аутентификации (MFA).
С ростом популярности ИИ-LLM для повседневного использования злоумышленники начали применять общедоступные страницы ChatGPT и Grok, а также страницы Claude Artifacts для распространения поддельных руководств, продвигающих атаки ClickFix.
Кроме того, BleepingComputer сегодня сообщил о новом варианте ClickFix-атаки, распространявшейся через комментарии на Pastebin. В ней пользователей криптовалют убеждали выполнить вредоносный JavaScript-код прямо в браузере при посещении криптовалютной биржи с целью перехвата транзакций.
Это одна из первых кампаний ClickFix, ориентированных на выполнение JavaScript в браузере и захват функциональности веб-приложений, а не на установку классического вредоносного ПО.
Источник
