Social engineeringtechniek ClickFix overspoelt dreigingslandschap
Onderzoekers van cybersecuritybedrijf Proofpoint delen nieuwe inzichten rondom een unieke social engineeringtechniek: ClickFix. De methode zet gebruikers aan tot het uitvoeren van schadelijke PowerShell-commando's. Slachtoffers infecteren zichzelf ongewild doordat zij ClickFix uitvoeren via misleidende error-meldingen, waardoor de beveiliging wordt omzeild.
Het is niet de eerste keer dat de onderzoekers van het bedrijf ClickFix zien. Zij namen eerder dit jaar de social engineeringtechniek waar. Zo zagen ze de access broker TA571 en een valse website update die bekend staat als ClearFake. Deze wordt nu gebruikt door een groter aantal dreigingsactoren.
Verder blijkt uit het onderzoek dat:
- ClickFix speelt in op het verlangen van gebruikers om problemen op te lossen. Hierbij presenteert het oplossingen die eenvoudig lijken, maar uiteindelijk leiden tot het uitvoeren van malware.
- Dreigingsactoren doen zich voor als reguliere software, zoals Microsoft Word en Google Chrome. Daarnaast doen zij branche specifieke software na zoals in de transport- en logistieksector. ClickFix wordt afgeleverd via verschillende kanalen, zoals gecompromitteerde websites, schadelijke documenten, HTML-bijlagen en URL’s.
- Een toenemende dreiging is het gebruik van valse CAPTCHA-controles, waarbij men moet verifiëren dat het een mens is. Oplichters gebruiken hierbij de open sourcetoolkit reCAPTCHA Phish.
- ClickFix-campagnes leveren verschillende soorten malware, waaronder AsyncRAT, Danabot, DarkGate, Lumma Stealer, NetSupport, Brute Ratel C4, Latrodectus en XWorm.
- Ondanks de voornamelijk financiële motieven van ClickFix, is het ook betrokken bij vermoedelijke spionagecampagnes. Onderzoekers vermoeden dat ClickFix betrokken was bij spionagecampagnes op overheidsinstanties in Oekraïne. Eén campagne beïnvloedde zelfs minstens 300 wereldwijde organisaties.
ClickFix vertegenwoordigt een stijgende en effectieve social engineeringtactiek. Nu traditionele aanvalsvectoren minder effectief worden, vertrouwen dreigingsactoren steeds meer op het manipuleren van menselijk gedrag. Organisaties doen er verstandig aan om hun mensen te trainen in het herkennen en vermijden van deze technieken.
Lees voor meer informatie het volledige onderzoek hier.
Meer over
Lees ook
Proofpoint: "Cloudflare-tunnels misbruikt voor afleveren van RAT's"
Cybersecuritybedrijf Proofpoint volgt een groep cybercriminelen die Cloudflare-tunnels gebruikt voor het afleveren van malware. De criminelen misbruiken de TryCloudflare-functie die het mogelijk maakt om eenmalig zonder een account een tunnel aan te maken. Deze tunnels verlenen op afstand toegang tot gegevens en bronnen die zich niet op het lokale1
ESET Research: Hamster Kombat-game misbruikt door cybercriminelen
De afgelopen maanden heeft het Telegram-klikspel Hamster Kombat de wereld van liefhebbers van cryptocurrency-spellen op zijn kop gezet. Zoals te verwachten was, heeft het succes van Hamster Kombat ook cybercriminelen gelokt, die al zijn begonnen met het inzetten van malware gericht op de spelers van het spel.
WatchGuard: malware gericht op endpoints stijgt explosief
Ondanks dat het totale aantal netwerkdetecties van malware in het afgelopen kwartaal bijna gehalveerd is ten opzichte van het vorige kwartaal, is het aantal detecties van malware gericht op endpoints met 82% gestegen.