Attacco ClickFix utilizzando la funzione di ricerca di Windows per installare MetaStealer tramite AnyDesk
In una recente evoluzione, è emersa una nuova variante dell'attacco ClickFix, che si spaccia per un legittimo installatore AnyDesk per diffondere il MetaStealer infostealer. Questa sofisticata campagna di ingegneria sociale è stata collegata al gruppo di hacker noto come APT41.
Il vettore di attacco utilizza un meno monitorato protocollo Windows Search per bypassare i team di sicurezza, consentendo di introdurre payload direttamente attraverso File Explorer. Le vittime vengono reindirizzate in Windows File Explorer tramite il gestore URI search-ms, che le porta a una pagina di atterraggio ingannevole progettata per assomigliare a una pagina di verifica Cloudflare Turnstile.
Al clic del pulsante "verifica di essere umano" su questa pagina, le vittime non vengono guidate per incollare un comando nella finestra di dialogo Esegui come negli attacchi ClickFix classici. Invece, vengono presentati con un file di collegamento Windows denominato "Readme Anydesk.pdf.lnk", che esegue silenziosamente le routine di download al conferma dell'utente.
Questo file di collegamento consegna un pacchetto MSI dannoso mascherato da PDF. Il CustomActionDLL del MSITrigger il recupero di Binary.bz.WrappedSetupProgram. Al momento dell'esecuzione, questo binario sballa ls26.exe e 1.js. Il file JavaScript (1.js) garantisce la rimozione dei file intermedi, mentre ls26.exe avvia la fase di esfiltrazione dei dati.
I comportamenti mostrati da ls26.exe sono caratteristici del MetaStealer, inclusi il prelievo di credenziali dai browser e il furto di portafoglio crittografico. L'attacco consegna anche un PDF esca, un pacchetto MSI che incorpora dinamicamente l'hostname della vittima nel suo URL di download.
Si consiglia ai difensori di implementare rigorose politiche dei gestori dei protocolli, l'auditing SMB e l'analisi contestuale delle installazioni MSI per rilevare e disturbare queste sofisticate campagne di ingegneria sociale. Restando vigili e adottando queste misure, le organizzazioni possono proteggersi da tali minacce.
I ricercatori Huntress hanno notato questo sottile cambiamento nel meccanismo di reindirizzamento e stanno monitorando la situazione da vicino. Invitano tutti gli utenti a fare attenzione quando scaricano software, soprattutto se è inaspettato o da fonti sconosciute. Verificare sempre l'autenticità del software prima dell'installazione per garantire la sicurezza del sistema.
Leggi anche:
- Sviluppo di un sistema di controllo e di controllo delle malattie
- Audinate nomina nuovo Chief Product Officer, mentre Shure fa un'entrata notevole
- La formica regina dà alla luce due specie diverse, la prima mappa dell'attività cerebrale è stata svelata e questa settimana ci sono altre scoperte entusiasmanti
- La fondazione dell'industrializzazione in Europa può dipendere dall'elettricità
