A CrashFix támadási kampány a vállalati rendszereket veszi célba

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

A Huntress Labs friss jelentése szerint egy új, kifinomult támadási kampány, a CrashFix, a ClickFix támadások továbbfejlesztett változata, amely célzottan vállalati rendszereket, valamint otthoni felhasználókat érint.

A hagyományos ClickFix csalások jellemzően hamis biztonsági riasztásokkal vagy CAPTCHA-kal próbálják rávenni az áldozatokat rosszindulatú parancsok futtatására. Ezzel szemben a CrashFix variáns három fő összetevőből áll:

  • a NexShield nevű rosszindulatú böngészőbővítményből,
  • a böngésző szándékos összeomlására épülő social engineering technikából, valamint
  • a Python-alapú ModeloRAT távoli hozzáférésű trójai modulból.

A kampány során a NexShield bővítmény a legitim uBlock Origin Lite reklámblokkolónak álcázza magát. A telepítés után a bővítmény egy órán keresztül inaktív marad, majd szándékosan összeomlasztja a böngészőt, a rendszer erőforrásait túlterhelve végtelen számú kapcsolódási kéréssel. A böngésző újraindítása után az áldozat egy hamis biztonsági figyelmeztetést kap, amely arra utasítja, hogy illesszen be egy javítóparancsot a Windows „Futtatás” párbeszédablakába. A valóságban ez a parancs egy PowerShell-szkriptet indít, amely titkosított kommunikációt hoz létre a támadó C2 szerverével és adatokat továbbít a kompromittált rendszerről.

A vállalati rendszerek (tartományba léptetett gépek) kiemelt célpontnak számítanak. Ezekre a rendszerekre a ModeloRAT trójai kerül telepítésre, amely kiterjedt rendszerfelderítési képességekkel rendelkezik. Információkat gyűjt az operációs rendszerről, a futó folyamatokról, a hálózati konfigurációról és a felhasználói jogosultságokról, valamint ellenőrzi elemzőeszközök, virtuális gépre utaló jelek és telepített vírusvédelmi eszközök jelenlétét. A ModeloRAT RC4 titkosítást használ a C2 kommunikációhoz, módosítja a Windows Registry értesítéseket a tartós jelenlét (perzisztencia) biztosítása érdekében. Az észlelés megnehezítése érdekében a kártevő legitim alkalmazásokra emlékeztető neveket, (mint például Spotify vagy Discord), használ, így rejti el a további payloadokat.

A Huntress kutatói szerint a CrashFix vállalati környezetben különösen veszélyes, mivel a támadás szándékosan hoz létre egy valós technikai problémát (böngészőösszeomlás), majd annak látszólagos megoldását kínálja, így önfenntartó fertőzési ciklust generál.

A Huntress javasolja, hogy a szervezetek rendszeresen ellenőrizzék a legitim Windows eszközök szokatlan használatát, a böngészőbővítmények nem megszokott engedélykéréseit vagy a nemrég telepített bővítményeket, valamint a Registry „Run” kulcsaiban előforduló, legitim szoftvernevekre emlékeztető, gyanús bejegyzéseket. Továbbá ajánlott figyelni a Python-parancsokat futtató rejtett PowerShell-folyamatokra, mivel ezek a jelek a támadás korai felismerését segíthetik elő.

Összességében a CrashFix kampány a social engineering, a célzott kártevőterjesztés és az automatizált rendszerfelderítés kombinációja, és jelentősen növeli a vállalati rendszerek kompromittálódásának kockázatát.

(forrás, forrás)