Social engineeringtechniek ClickFix overspoelt dreigingslandschap
Onderzoekers van cybersecuritybedrijf Proofpoint delen nieuwe inzichten rondom een unieke social engineeringtechniek: ClickFix. De methode zet gebruikers aan tot het uitvoeren van schadelijke PowerShell-commando's. Slachtoffers infecteren zichzelf ongewild doordat zij ClickFix uitvoeren via misleidende error-meldingen, waardoor de beveiliging wordt omzeild.
Het is niet de eerste keer dat de onderzoekers van het bedrijf ClickFix zien. Zij namen eerder dit jaar de social engineeringtechniek waar. Zo zagen ze de access broker TA571 en een valse website update die bekend staat als ClearFake. Deze wordt nu gebruikt door een groter aantal dreigingsactoren.
Verder blijkt uit het onderzoek dat:
- ClickFix speelt in op het verlangen van gebruikers om problemen op te lossen. Hierbij presenteert het oplossingen die eenvoudig lijken, maar uiteindelijk leiden tot het uitvoeren van malware.
- Dreigingsactoren doen zich voor als reguliere software, zoals Microsoft Word en Google Chrome. Daarnaast doen zij branche specifieke software na zoals in de transport- en logistieksector. ClickFix wordt afgeleverd via verschillende kanalen, zoals gecompromitteerde websites, schadelijke documenten, HTML-bijlagen en URL’s.
- Een toenemende dreiging is het gebruik van valse CAPTCHA-controles, waarbij men moet verifiëren dat het een mens is. Oplichters gebruiken hierbij de open sourcetoolkit reCAPTCHA Phish.
- ClickFix-campagnes leveren verschillende soorten malware, waaronder AsyncRAT, Danabot, DarkGate, Lumma Stealer, NetSupport, Brute Ratel C4, Latrodectus en XWorm.
- Ondanks de voornamelijk financiële motieven van ClickFix, is het ook betrokken bij vermoedelijke spionagecampagnes. Onderzoekers vermoeden dat ClickFix betrokken was bij spionagecampagnes op overheidsinstanties in Oekraïne. Eén campagne beïnvloedde zelfs minstens 300 wereldwijde organisaties.
ClickFix vertegenwoordigt een stijgende en effectieve social engineeringtactiek. Nu traditionele aanvalsvectoren minder effectief worden, vertrouwen dreigingsactoren steeds meer op het manipuleren van menselijk gedrag. Organisaties doen er verstandig aan om hun mensen te trainen in het herkennen en vermijden van deze technieken.
Lees voor meer informatie het volledige onderzoek hier.
Meer over
Lees ook
Geldautomaten wereldwijd getroffen door malware
Een bank ontdekt dat hij is aangevallen, maar vreemd genoeg is er geen cent gestolen en het systeem van de bank lijkt onaangetast. De criminelen zijn zonder buit vertrokken. Of toch niet? In 2009 was Skimer de eerste kwaadwillende software die het op geldautomaten had gemunt. Nu, zeven jaar later, maakt het programma een ware comeback, maar de cyb1
'Digitale bankrovers Bangladesh infecteerden SWIFT clientsoftware met malware'
De bankroof bij de centrale bank van Bangladesh, waarbij onlangs 81 miljoen dollar werd buitgemaakt, is vermoedelijk mogelijk gemaakt door de Alliance Access clientsoftware van SWIFT te infecteren met malware. Dit gaf de aanvallers de mogelijkheid grote geldbedragen over te schrijven naar bankrekeningen in de Filipijnen. De digitale bankoverval he1
Google detecteert 800.000 malafide websites
Google heeft in het afgelopen jaar zo’n 800.000 malafide websites gedetecteerd. Bezoekers van deze websites worden geconfronteerd met onder andere drive-by downloads, waarbij cybercriminelen via beveiligingsgaten automatisch malafide software proberen te laten installeren. Ook gaat het om websites waarop oplichters actief zijn. Dit melden Kurt Tho1