Egy új, ClickFix mechanizmusra épülő social engineering kampány az európai vendéglátóipari szektort célozza. A támadók a Windows operációs rendszer összeomlását imitáló Blue Screen of Death (BSOD) képernyők megjelenítésével érik el, hogy az érintett felhasználók saját maguk futtassák a rosszindulatú kódot a rendszereiken.
A BSOD a Microsoft Windows operációs rendszer kritikus hibát jelző felülete, amely kritikus, helyrehozhatatlan rendszerhiba esetén jelenik meg, és az operációs rendszer működésének leállását jelzi.
A ClickFix alapú social engineering támadások jellemzően olyan webes felületeken valósulnak meg, amelyek valamilyen hibát jeleznek, majd látszólagos „javítási” vagy „helyreállítási” lépéseket javasolnak annak elhárítására. Ezek lehetnek megtévesztő hibaüzenetek, biztonsági figyelmeztetések, CAPTCHA-ellenőrzések vagy szoftverfrissítési értesítések, amelyek arra utasítják a felhasználót, hogy futtasson egy parancsot a saját számítógépén a probléma megoldása érdekében. A felhasználó a megadott PowerShell- vagy shellparancs futtatásával saját maga idézi elő a rendszer kompromittálását.
Egy decemberben azonosított „PHALT#BLYX” néven nyomon követett kampányban a támadók a Booking.com nevével visszaélő adathalász e-maileket alkalmaztak a ClickFix-alapú támadási lánc elindítására. Az üzenetek jellemzően egy vendég szállásfoglalásának lemondását imitálják, és a bennük feltüntetett visszatérítési összeg kellően jelentős ahhoz, hogy sürgősségérzetet és nyomást gyakoroljon a címzettre.
Az e-mailben szereplő hivatkozás egy, a „low-house[.]com” domainen üzemeltetett weboldalra irányítja a felhasználót, amely megtévesztően hasonlít a Booking.com felületére (1. ábra). A Securonix jelentése szerint az oldal arculata a felhasználók számára nehezen megkülönböztethető a legitim weboldaltól. Az oldalon futó kártékony JavaScript egy „Loading is taking too long” üzenetet jelenít meg, majd egy látszólag az oldal frissítését szolgáló gomb megnyomására ösztönzi a felhasználót (2. ábra).
A gomb aktiválását követően a böngésző teljes képernyős módba vált, és egy BSOD-t imitáló képernyőt jelenít meg (3. ábra), amely elindítja a ClickFix social engineering folyamatot. A felület arra utasítja a felhasználót, hogy nyissa meg a Windows „Futtatás” párbeszédpanelt, majd a CTRL+V billentyűkombinációval illessze be a vágólapra előzetesen elhelyezett parancsot, és hajtsa végre az utasítást.
A legitim BSOD képernyők nem tartalmaznak helyreállítási utasításokat, kizárólag hibakódot és újraindításra vonatkozó tájékoztatást jelenítenek meg.
A végrehajtott parancs egy PowerShell folyamatot indít, amely egy megtévesztő Booking.com adminisztrációs felületet jelenít meg, miközben a háttérben egy rosszindulatú .NET projektfájl kerül letöltésre és lefordításra a legitim MSBuild.exe segítségével. A kártevő Windows Defender kivételeket állít be, UAC-jóváhagyási kéréseket indít, majd a Background Intelligent Transfer Service (BITS) használatával további komponenseket tölt le, és perzisztenciát alakít ki.
A telepített kártevő a DCRAT nevű távoli hozzáférést biztosító trójai program, amely process hollowing technikával a legitim aspnet_compiler.exe folyamatba injektálódik, és a memóriában fut. A C2-szerverrel való kapcsolatfelvételt követően a malware távoli vezérlést, billentyűleütés-naplózást, valamint további kártékony kódok végrehajtását teszi lehetővé. A kutatók által megfigyelt esetben kriptovaluta-bányász komponenst is telepítettek.
A sikeres kompromittálást követően a támadók folyamatos hozzáférést szereznek az érintett hálózathoz, amely további rendszerek veszélyeztetését és adatszivárgást is lehetővé tehet.