Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Kampanie ClickFix i FakeUpdate należą dziś do najskuteczniejszych technik socjotechnicznych wykorzystywanych do dostarczania złośliwego oprogramowania. W modelu ClickFix użytkownik jest nakłaniany do ręcznego uruchomienia komendy, zwykle pod pretekstem naprawy błędu lub przejścia rzekomej weryfikacji. Z kolei FakeUpdate bazuje na fałszywych komunikatach o konieczności aktualizacji przeglądarki lub popularnego narzędzia, co prowadzi do pobrania i uruchomienia malware.
Opisywana operacja pokazuje, że oba podejścia są coraz częściej łączone w jeden zautomatyzowany łańcuch infekcji. Kluczową rolę odgrywają tu przejęte legalne witryny, które służą jako punkt wejścia do dalszych przekierowań i dystrybucji złośliwych ładunków.
W skrócie
- Badacze przypisują kampanię aktorowi zagrożeń śledzonemu jako DriveSurge.
- Atakujący mieli przejąć tysiące legalnych stron internetowych i używać ich do przekierowywania ruchu.
- Za wybór scenariusza infekcji odpowiada system TDS profilujący ofiary.
- Użytkownicy mogli trafiać zarówno na przynęty FakeUpdate, jak i mechanizmy ClickFix.
- Kampania obejmuje elementy wymierzone nie tylko w Windows, ale również w macOS.
Kontekst / historia
FakeUpdate od lat pozostaje skuteczną metodą infekcji, ponieważ wykorzystuje naturalną skłonność użytkowników do instalowania aktualizacji bezpieczeństwa. ClickFix jest techniką nowszą, ale rozwija się bardzo dynamicznie, ponieważ przenosi część wykonania złośliwego łańcucha na samą ofiarę. To podejście może ograniczać skuteczność części klasycznych mechanizmów ochronnych opartych głównie na blokowaniu automatycznych pobrań.
W analizowanej operacji DriveSurge działa jak broker początkowego dostępu w modelu pay-per-install. Oznacza to, że przygotowana przez niego infrastruktura może stanowić pierwszy etap większych kampanii realizowanych przez innych operatorów malware. Istotnym komponentem całego łańcucha jest open source’owy system zTDS, wykorzystywany do profilowania ruchu i kierowania ofiar do odpowiednich przynęt.
Analiza techniczna
Ruch z legalnych, lecz skompromitowanych stron był przekierowywany do infrastruktury kontrolowanej przez atakujących. Następnie system TDS analizował odwiedzającego i decydował, jaki scenariusz zostanie wyświetlony. Jeśli ofiara była bardziej podatna na klasyczny phishing aktualizacyjny, widziała ekran FakeUpdate. W innych przypadkach serwowany był wariant ClickFix, oparty na ręcznym uruchomieniu komendy.
W kampanii FakeUpdate atakujący podszywali się pod aktualizacje wielu popularnych przeglądarek, w tym Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet i UC Browser. Jeden z opisanych scenariuszy obejmował fałszywą aktualizację Firefoksa, prowadzącą do pobrania archiwum ZIP zawierającego biblioteki DLL oraz plik wykonywalny nazwany „Browser Update.exe”. Taki schemat miał zwiększać wiarygodność ataku i ułatwiać uruchomienie ładunku.
W wariantach ClickFix ofiara otrzymywała instrukcje uruchomienia poleceń PowerShell. To szczególnie groźne, ponieważ użytkownik sam inicjuje wykonanie kodu, co może obniżać skuteczność zabezpieczeń opartych na reputacji plików i automatycznym wykrywaniu podejrzanych pobrań. Badacze opisali również obfuskowany ładunek JavaScript przygotowany z myślą o macOS, dostarczany w scenariuszach podszywających się pod weryfikację użytkownika i przejmujących zawartość schowka.
Ważnym wskaźnikiem kompromitacji był wzorzec iniekcji JavaScript w formie t.js?site=<id>, gdzie identyfikator odpowiadał konkretnej przejętej witrynie. Zidentyfikowano dziesiątki domen powiązanych z infrastrukturą iniekcji oraz kolejne domeny przygotowane do przyszłego użycia, co wskazuje na dobrze rozwinięte i odporne operacyjnie zaplecze kampanii.
Konsekwencje / ryzyko
Największe zagrożenie wynika z połączenia reputacji legalnych stron, adaptacyjnego profilowania ruchu i skutecznej socjotechniki. Z perspektywy organizacji oznacza to wzrost ryzyka infekcji nawet wtedy, gdy użytkownik odwiedza pozornie wiarygodny serwis. Jeśli DriveSurge rzeczywiście pełni rolę brokera dostępu początkowego, udana kompromitacja może prowadzić do dalszych etapów ataku, takich jak kradzież danych, wdrożenie infostealerów, ransomware czy ustanowienie trwałej obecności w środowisku.
Dodatkowym problemem jest ograniczona skuteczność prostych mechanizmów filtrowania opartych wyłącznie na reputacji domeny. Ruch startuje bowiem z legalnej witryny, a dopiero później przechodzi przez łańcuch przekierowań. Rozszerzenie kampanii na macOS zwiększa też powierzchnię ataku i pokazuje, że tego typu przynęty nie są już wyłącznie problemem środowisk Windows.
Rekomendacje
Organizacje powinny przyjąć zasadę, że aktualizacje przeglądarek i aplikacji są realizowane wyłącznie przez wbudowane mechanizmy aktualizacji albo centralne systemy zarządzania oprogramowaniem. Użytkownicy nie powinni instalować żadnych aktualizacji uruchamianych z poziomu wyskakujących komunikatów na stronach internetowych.
- Szkol użytkowników, aby nie kopiowali i nie uruchamiali poleceń z przeglądarki, czatu, e-maila ani okien rzekomej weryfikacji.
- Ograniczaj użycie PowerShell i monitoruj uruchomienia interpreterów poleceń.
- Koreluj zdarzenia związane z pobraniem archiwów ZIP, bibliotek DLL i plików EXE z nietypowych lokalizacji.
- Monitoruj nieautoryzowane iniekcje JavaScript w serwisach internetowych, szczególnie wzorce podobne do
t.js?site=<id>. - Wykrywaj łańcuchy przekierowań do nowych lub wcześniej nieobserwowanych domen.
- Wdrażaj monitorowanie integralności plików, analizę logów i skanowanie pod kątem webshelli.
- Stosuj reguły EDR wykrywające nietypowe użycie schowka, terminala i procesów uruchamianych z katalogów pobrań lub folderów tymczasowych.
Podsumowanie
Kampania DriveSurge dobrze pokazuje ewolucję współczesnych łańcuchów infekcji, które łączą przejęte legalne strony, systemy TDS i skuteczne techniki socjotechniczne. Połączenie ClickFix i FakeUpdate zwiększa skuteczność ataku, ponieważ umożliwia dynamiczne dopasowanie scenariusza do ofiary. Dla zespołów bezpieczeństwa oznacza to konieczność jednoczesnej ochrony warstwy webowej, punktów końcowych i samego użytkownika.
Źródła
- BleepingComputer – Hackers hijack thousands of sites for ClickFix and FakeUpdate attacks — https://www.bleepingcomputer.com/news/security/hackers-hijack-thousands-of-sites-for-clickfix-and-fakeupdate-attacks/