НАЗАД К НОВОСТЯМ
Срочные новости

Кампания ClickFix эксплуатирует Windows App-V для распространения Amatera Infostealer

3 мин чтенияИсточник: BleepingComputer

Исследователи обнаружили новую вредоносную кампанию, использующую технику ClickFix, поддельные CAPTCHA и подписанные скрипты Microsoft App-V для заражения систем Windows шпионским ПО Amatera.

Цепочка атаки ClickFix использует Windows App-V для доставки Amatera Infostealer

Исследователи в области кибербезопасности обнаружили новую вредоносную кампанию, которая сочетает технику ClickFix, поддельные CAPTCHA-подсказки и подписанный скрипт Microsoft Application Virtualization (App-V) для развёртывания Amatera infostealer на системах Windows. Атака демонстрирует эволюцию тактик обхода средств защиты и уклонения от обнаружения.

Обзор атаки и технические детали

Кампания начинается с того, что пользователи сталкиваются с вредоносными сайтами или malvertising (вредоносной рекламой), которые инициируют поддельный запрос на верификацию CAPTCHA. Когда жертвы взаимодействуют с CAPTCHA, запускается цепочка атаки, использующая ClickFix — метод, злоупотребляющий HTML-инъекцией для манипуляции кликами пользователей и выполнения вредоносных скриптов.

Киберпреступники эксплуатируют Microsoft App-V — легитимную технологию виртуализации приложений — с помощью подписанного скрипта App-V для выполнения произвольных команд. Эта техника позволяет злоумышленникам обходить ограничения безопасности, так как скрипты App-V по умолчанию доверяются системами Windows. Конечная полезная нагрузка, Amatera, представляет собой инфостилер, предназначенный для кражи конфиденциальных данных, включая учётные данные, cookies браузера и информацию о криптовалютных кошельках.

Основные технические компоненты атаки включают:

  • Поддельные CAPTCHA-подсказки для обмана пользователей и запуска атаки.
  • HTML-инъекцию ClickFix для манипуляции действиями пользователей.
  • Подписанные скрипты App-V для выполнения вредоносных команд с повышенным уровнем доверия.
  • Amatera infostealer для эксфильтрации данных и обеспечения постоянного присутствия в системе.

Влияние и оценка рисков

Amatera infostealer представляет значительную угрозу как для частных лиц, так и для организаций. После развёртывания вредоносное ПО может:

  • Похищать учётные данные для входа, cookies браузера и данные автозаполнения.
  • Красть информацию о криптовалютных кошельках и другие финансовые данные.
  • Обеспечивать постоянное присутствие в заражённых системах, что позволяет осуществлять долгосрочную кражу данных.

Использование подписанных скриптов App-V усложняет обнаружение, так как такие скрипты обычно заносятся в белые списки решениями безопасности. Эта кампания подчёркивает необходимость усиленного мониторинга инструментов виртуализации приложений и выполнения скриптов по инициативе пользователя.

Меры по снижению рисков и рекомендации

Командам безопасности следует внедрить следующие меры для снижения рисков, связанных с этой кампанией:

  1. Мониторинг и ограничение выполнения скриптов App-V

    • Проводите аудит и ограничивайте выполнение подписанных скриптов App-V только доверенными источниками.
    • Внедрите белые списки приложений, чтобы предотвратить выполнение несанкционированных скриптов.

  2. Повышение осведомлённости пользователей

    • Обучайте сотрудников распознавать поддельные CAPTCHA-подсказки и подозрительные веб-взаимодействия.
    • Поощряйте сообщения о необычных всплывающих окнах или запросах на верификацию.

  3. Развёртывание продвинутых средств обнаружения угроз

    • Используйте решения EDR (Endpoint Detection and Response) для мониторинга аномального выполнения скриптов.
    • Внедрите поведенческий анализ для обнаружения активности инфостилеров, например, несанкционированной эксфильтрации данных.

  4. Обновление и установка патчей

    • Убедитесь, что все системы Windows и инструменты виртуализации обновлены последними исправлениями безопасности.
    • Отключите или ограничьте использование App-V, если это не требуется для бизнес-операций.

  5. Защита на уровне сети

    • Блокируйте известные вредоносные домены, связанные с Amatera и аналогичными инфостилерами.
    • Внедрите фильтрацию веб-трафика для предотвращения доступа к сайтам с malvertising и фишинговым контентом.

Заключение

Эта кампания демонстрирует изощрённость современных киберугроз, сочетая социальную инженерию, злоупотребление легитимными инструментами и развёртывание вредоносного ПО в рамках единой цепочки атаки. Организациям необходимо применять многоуровневый подход к безопасности для эффективного обнаружения и нейтрализации подобных угроз. Бдительность, обучение пользователей и проактивный мониторинг имеют критически важное значение для защиты от этих развивающихся тактик.

Поделиться

TwitterLinkedIn