A Microsoft figyelmeztetést adott ki egy ClickFix-alapú támadási módszerről, amely DNS-lekérdezések segítségével juttatja el a ModeloRAT nevű távoli hozzáférésű trójait (RAT) a célpontokhoz.
A vállalat szerint a támadók a ClickFix technika egy új változatát alkalmazzák a kártevők terjesztésére. Ez a módszer az elmúlt évben mind a kiberbűnözők, mind az államilag támogatott támadók körében egyre gyakoribbá vált.
A támadás során a felhasználók egy kompromittált vagy rosszindulatú weboldalon elhelyezett megtévesztő hibaüzenettel találkoznak. Az üzenet arra szólítja fel őket, hogy a probléma elhárítása érdekében nyomjanak meg bizonyos billentyűkombinációkat, majd hajtsanak végre további lépéseket (például futtassanak egy parancsot). Amennyiben a felhasználó követi az utasításokat, akaratlanul is emelt jogosultságot adhat a rendszerhez, kártevőt tölthet le, vagy a támadó által előkészített szkripteket futtathat.
A Microsoft által megfigyelt egyik ClickFix-támadás során a felhasználókat arra vették rá, hogy egy olyan parancsot futtassanak, amely egy egyedi DNS-lekérdezést hajt végre.
A vállalat tájékoztatása szerint a kezdeti parancs a cmd.exe folyamaton keresztül fut, és nem a rendszer alapértelmezett névfeloldóját használja, hanem egy hardkódolt külső DNS-kiszolgálót kérdez le. A válaszból a „Name:” mezőt szűrik ki, amely a támadás második szakaszában lefutó kártékony kódot tartalmazza.
Ezzel a módszerrel a támadó kapcsolatba léphet saját infrastruktúrájával, és ellenőrizheti, hogy a második fázis sikeresen lefutott-e. Mivel a kommunikáció DNS-forgalmon keresztül történik, a rosszindulatú tevékenység könnyebben beleolvad a normál hálózati forgalomba, ami megnehezíti az észlelést.
A második szakaszban lefutó kód egy felderítési célú, rosszindulatú Python-szkriptet tölt le és hajt végre. Ezt követően települ a végső kártevő, valamint beállításra kerül egy perzisztenciát biztosító mechanizmus is.
A végső komponens a ModeloRAT, amely a támadók számára lehetővé teszi, hogy adatokat gyűjtsenek a kompromittált rendszerről, és további kártékony kódokat futtassanak rajta.
Bár a Microsoft nem osztott meg részletes információkat a konkrét incidensekről, a Huntress nemrég arról számolt be, hogy a KongTuke néven nyomon követett támadó a CrashFix nevű ClickFix-variánson keresztül telepítette a ModeloRAT kártevőt. A támadások elsősorban vállalati környezeteket céloztak.