Social engineeringtechniek ClickFix overspoelt dreigingslandschap
Onderzoekers van cybersecuritybedrijf Proofpoint delen nieuwe inzichten rondom een unieke social engineeringtechniek: ClickFix. De methode zet gebruikers aan tot het uitvoeren van schadelijke PowerShell-commando's. Slachtoffers infecteren zichzelf ongewild doordat zij ClickFix uitvoeren via misleidende error-meldingen, waardoor de beveiliging wordt omzeild.
Het is niet de eerste keer dat de onderzoekers van het bedrijf ClickFix zien. Zij namen eerder dit jaar de social engineeringtechniek waar. Zo zagen ze de access broker TA571 en een valse website update die bekend staat als ClearFake. Deze wordt nu gebruikt door een groter aantal dreigingsactoren.
Verder blijkt uit het onderzoek dat:
- ClickFix speelt in op het verlangen van gebruikers om problemen op te lossen. Hierbij presenteert het oplossingen die eenvoudig lijken, maar uiteindelijk leiden tot het uitvoeren van malware.
- Dreigingsactoren doen zich voor als reguliere software, zoals Microsoft Word en Google Chrome. Daarnaast doen zij branche specifieke software na zoals in de transport- en logistieksector. ClickFix wordt afgeleverd via verschillende kanalen, zoals gecompromitteerde websites, schadelijke documenten, HTML-bijlagen en URL’s.
- Een toenemende dreiging is het gebruik van valse CAPTCHA-controles, waarbij men moet verifiëren dat het een mens is. Oplichters gebruiken hierbij de open sourcetoolkit reCAPTCHA Phish.
- ClickFix-campagnes leveren verschillende soorten malware, waaronder AsyncRAT, Danabot, DarkGate, Lumma Stealer, NetSupport, Brute Ratel C4, Latrodectus en XWorm.
- Ondanks de voornamelijk financiële motieven van ClickFix, is het ook betrokken bij vermoedelijke spionagecampagnes. Onderzoekers vermoeden dat ClickFix betrokken was bij spionagecampagnes op overheidsinstanties in Oekraïne. Eén campagne beïnvloedde zelfs minstens 300 wereldwijde organisaties.
ClickFix vertegenwoordigt een stijgende en effectieve social engineeringtactiek. Nu traditionele aanvalsvectoren minder effectief worden, vertrouwen dreigingsactoren steeds meer op het manipuleren van menselijk gedrag. Organisaties doen er verstandig aan om hun mensen te trainen in het herkennen en vermijden van deze technieken.
Lees voor meer informatie het volledige onderzoek hier.
Meer over
Lees ook
WatchGuard: 300% stijging in endpoint malware
WatchGuard Technologies signaleert in zijn nieuwste Internet Security Report een zorgwekkende stijging van 300% in endpoint malwaredetecties in het derde kwartaal van 2024. Cybercriminelen richten zich steeds vaker op legitieme websites en documenten om malware te verspreiden.
"nieuwe MacOS-malware en twee nieuwe cybercriminele actoren" - Proofpoint
Onderzoekers van Proofpoint identificeren een nieuwe MacOS-malware en twee nieuwe cybercriminele actoren. De MacOS-Malware, ‘FrigidStealer’, wordt afgeleverd via webinjectiecampagnes. De twee nieuwe cybercriminele actoren, TA2726 en TA2727, maken ook onderdeel uit van webinjectiecampagnes.
ESET Research ontdekt WolfsBane - Linux cyberspionage backdoor
ESET-onderzoekers hebben meerdere samples van een Linux backdoor geïdentificeerd, die ze WolfsBane hebben genoemd en met een hoge mate van betrouwbaarheid toeschrijven aan Gelsemium, een aan China gelieerde groep voor geavanceerde aanhoudende dreigingen (APT).