Аналитики Sekoia https://blog.sekoia.io/clickfix-tact...-phantom-meet/, что злоумышленники используют фейковые страницы Google Meet в рамках кампании ClickFix, которая направлена на распространение инфостилеров для Windows и macOS.
В последние месяцы разновидности ClickFix (она же ClearFake и OneDrive Pastejacking) встречаются часто. Злоумышленники используют различные приманки для перенаправления пользователей на фальшивые страницы, где их убеждают установить вредоносное ПО, призывая вручную выполнить PowerShell-код, который якобы поможет решить проблему с отображением контента в браузере.
Впервые о тактике ClickFix https://xakep.ru/2024/06/19/powershell-fake-patches/компания Proofpoint, обнаруживавшая такие атаки в мае 2024 года. Тогда атакующие имитировали ошибки Google Chrome, Microsoft Word и OneDrive.
Летом текущего года специалисты McAfee https://www.mcafee.com/blogs/other-b...eploy-malware/, что ClickFix распространяется все дальше, и атаки стали особенно частыми в США и Японии.
https://xakep.ru/wp-content/uploads/...0/timeline.jpg
Хронология развития ClickFix
«Эта тактика связана с отображением фальшивых сообщений об ошибках в браузерах, чтобы обманом заставить пользователей скопировать и выполнить вредоносный PowerShell-код, который в итоге заразит их системы», — рассказывают теперь эксперты Sekoia.
Исследователи объясняют, что эти приемы социальной инженерии примечательны тем, что позволяют хакерам эффективно избегать обнаружения. Ведь жертвам предлагается вручную запустить вредоносный PowerShell непосредственно в терминале, то есть скопировать «патч» в буфер обмена и сделать все самостоятельно.
Такие вредоносные страницы могут маскироваться под популярные сайты и сервисы, включая Facebook*, Google Chrome, PDFSimpli и reCAPTCHA, а теперь к ним добавились Google Meet и, возможно, Zoom.
https://xakep.ru/wp-content/uploads/...960/chrome.jpg
Вредоносные лендинги
Так, злоумышленники рассылают жертвам письма, которые выглядят как обычные приглашения в Google Meet, якобы связанные с рабочими конференциями и другим важными мероприятиями. В основном такие атаки нацелены на транспортные и логистические компании. При этом URL-адреса фальшивых страниц обычно похожи на настоящие:<ul><li>meet.google.us-join[.]com</li>
</ul><ul><li>meet.googie.com-join[.]us</li>
</ul><ul><li>meet.google.com-join[.]us</li>
</ul><ul><li>meet.google.web-join[.]com</li>
</ul><ul><li>meet.google.web-joining[.]com</li>
</ul><ul><li>meet.google.cdm-join[.]us</li>
</ul><ul><li>meet.google.us07host[.]com</li>
</ul><ul><li>googiedrivers[.]com</li>
</ul><ul><li>us01web-zoom[.]us</li>
</ul><ul><li>us002webzoom[.]us</li>
</ul><ul><li>web05-zoom[.]us</li>
</ul><ul><li>webroom-zoom[.]us</li>
</ul>Как только жертва переходит на такой лендинг, она получает всплывающее уведомление о технической проблеме (например, о неполадках с микрофоном или гарнитурой).
https://xakep.ru/wp-content/uploads/...oogle-meet.jpg
Фальшивое сообщение о проблеме
Если пользователь нажимает на кнопку «Попробовать исправить», начинается стандартный процесс заражения ClickFix, в ходе которого PowerShell-код, скопированный с сайта, нужно выполнить вручную. В итоге устройство жертвы заражается малварью, полученной с домена googiedrivers[.]com.
В Windows такие атаки приводят к установке стилеров StealC и Rhadamanthys, а пользователям macOS предлагается вредоносный файл образа (Launcher_v1.94.dmg), который содержит другой известный стилер — Atomic.
Исследователи Sekoia связывают злоумышленников, маскирующих свои атаки под Google Meet, с двумя группировками: Slavic Nation Empire (она же Slavice Nation Land) и Scamquerteo, которые являются подгруппами markopolo и CryptoLove.
«Обе команды используют один и тот же шаблон ClickFix, который имитирует Google Meet, — пишут специалисты. — Это открытие позволяет предположить, что группы используют общие материалы для лендингов, а также делят одну инфраструктуру».
Все это привело исследователей к мысли, что обе группировки могут использовать некий пока неизвестный экспертам хакерский сервис, а их инфраструктурой, вероятно, вообще управляет третья сторона.
https://xakep.ru/2024/10/22/clickfix/