Как злоумышленники при помощи ClickFix и поддельной CAPTCHA пытаются атаковать ИТ-специалистов, ищущих популярный сетевой сканер.
Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок.
Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
В ходе кампании, описанной исследователями из Secoia, в качестве полезной нагрузки использовался троян удаленного доступа (Interlock RAT). Зловред сохраняется в папке %AppData% и запускается автоматически, позволяя злоумышленникам получить доступ к конфиденциальной информации и закрепиться в системе.
После первоначального доступа операторы Interlock пытаются использовать ранее украденные учетные данные (вероятнее всего, из агрегированных утечек) и протокол удаленного рабочего стола (RDP) для более глубокого проникновения внутрь инфраструктуры жертвы. Основной целью преступников является контроллер домена (Domain Controller, DC) — доступ к нему позволяет злоумышленникам распространять вредоносное ПО всей инфраструктуре.
Последним этапом перед запуском шифровальщика становится кража ценных данных, принадлежащих организации — файлы загружаются в управляемое злоумышленниками хранилище Azure Blob Storage. После успешного вывода конфиденциальных данных из корпоративной сети жертвы операторы Interlock размещают их на новом домене в сети Tor. Ссылка на этот домен публикуется в каждом посте, посвященном новой жертве, на «луковом» сайте группировки.
Пример записки с требованием выкупа, которую присылает жертве ransomware-группировка Interlock
Помимо этого, для защиты от ransomware-атак мы рекомендуем следующее:
Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок.
Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
Как Interlock использует ClickFix для распространения вредоносного ПО
Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
От сбора данных до вымогательства — этапы атаки Interlock
После загрузки поддельного установщика активируется PowerShell-скрипт, который собирает информацию о системе и отправляет ее на командный сервер. В ответ сервер может либо завершить работу скрипта, отправив команду ooff, либо прислать дополнительное вредоносное ПО.В ходе кампании, описанной исследователями из Secoia, в качестве полезной нагрузки использовался троян удаленного доступа (Interlock RAT). Зловред сохраняется в папке %AppData% и запускается автоматически, позволяя злоумышленникам получить доступ к конфиденциальной информации и закрепиться в системе.
После первоначального доступа операторы Interlock пытаются использовать ранее украденные учетные данные (вероятнее всего, из агрегированных утечек) и протокол удаленного рабочего стола (RDP) для более глубокого проникновения внутрь инфраструктуры жертвы. Основной целью преступников является контроллер домена (Domain Controller, DC) — доступ к нему позволяет злоумышленникам распространять вредоносное ПО всей инфраструктуре.
Последним этапом перед запуском шифровальщика становится кража ценных данных, принадлежащих организации — файлы загружаются в управляемое злоумышленниками хранилище Azure Blob Storage. После успешного вывода конфиденциальных данных из корпоративной сети жертвы операторы Interlock размещают их на новом домене в сети Tor. Ссылка на этот домен публикуется в каждом посте, посвященном новой жертве, на «луковом» сайте группировки.
Пример записки с требованием выкупа, которую присылает жертве ransomware-группировка Interlock
Как защититься от атак с использованием техники ClickFix
Все защитные меры против атак, основанных на социальной инженерии, должны быть системными и прежде всего направлены на повышение осведомленности сотрудников.Помимо этого, для защиты от ransomware-атак мы рекомендуем следующее:
- Используйте надежную защиту на всех корпоративных устройствах.
- Отслеживайте подозрительную активность в сети компании с помощью решения класса XDR.
- В случае нехватки ресурсов или квалификации внутренней ИБ-службы организации, воспользуйтесь услугами внешнего сервиса для поиска угроз и оперативного реагирования на них.
