Kyberrikolliset ovat siirtyneet nopeasti uuteen kiertokulkutekniikkaan Microsoftin äskettäisen haitallisten sähköpostiliitteiden tukahduttamisen jälkeen. Vain viikkoja sen jälkeen, kun Outlook alkoi estää SVG (Scalable Vector Graphics)-tiedostoja, hyökkääjät piilottavat nyt haittaohjelmia Portable Network Graphics (PNG)-kuvien pikselitietojen sisään. Tämä menetelmä tunnetaan steganografiaksi.
Huntressin tietoturvatutkijat havaitsivat muutoksen osaksi laajempaa”ClickFix”-kampanjaa, jossa käytetään selaimen sosiaalista suojaustekniikkaa. Upottamalla salattua koodia näennäisesti vaarattomien kuvien tiettyihin värikanaviin, uhkien toimijat voivat kiertää tavallisia tunnistustyökaluja, jotka etsivät komentosarjapohjaisia uhkia.
Huolimatta”Operation Endgame”, koordinoidusta lainvalvontatoimesta, joka kohdistui aiemmin tässä kuussa botnet-infrastruktuuriin, kampanja on edelleen erittäin aktiivinen. Aktiiviset verkkotunnukset, jotka isännöivät uusia PNG-pohjaisia vieheitä, jatkavat Rhadamanthys-infostealerien jakelua, mikä viittaa ryhmän kestävyyteen poistamispyrkimyksiä vastaan.
selittävät, että”haitallinen koodi on koodattu suoraan tiettyjen PNG-kuvien pikselitietoihin ja purkaa salauksen uudelleen tiettyjen PNG-kuvien pikselitietoihin.”
Kun hyötykuorma on purettu, sen salaus puretaan muistissa ohittaen levypohjaiset tunnistusmekanismit. Tällaiset vain muistia käyttävät suorituspolut ovat erityisen tehokkaita Endpoint Detection and Response (EDR)-järjestelmissä, jotka ensisijaisesti valvovat tiedostojen kirjoittamista levylle.
Pidtämällä haittakoodin lyhytaikaisena ja haihtuvana hyökkääjät lyhentävät merkittävästi rikosteknisen kaappauksen ikkunaa. Huntressin tutkijat korostavat tämän tekniikan aiheuttamia rikosteknisiä haasteita ja huomauttavat, että”merkittävä löytö analyysin aikana oli kampanjan steganografian käyttö haittaohjelmien viimeisten vaiheiden piilottamiseen kuvan sisällä.”
Lopuksi.NET-kokoonpano ladataan heijastavasti, jotta hyötykuorma ruiskutetaan `explorer.exe-tiedostoon’3plick’x>.
Käyttäjien luottamuksen aseistaminen
Hyödyntämällä”ClickFix”-nimistä tekniikkaa, hyökkäys jäljittelee oikeutettua Windows-virhettä tai päivitysnäyttöä. Uhreille esitetään väärennetty Windows Update-käyttöliittymä, joka näyttää pysähtyvän tai epäonnistuvan. Ongelman”korjaamiseksi”käyttäjiä kehotetaan avaamaan Windowsin Suorita-valintaikkuna (Win+R) ja liittämään komento.
Tämä tekniikka ohittaa tekniset hyväksikäytöt kokonaan, joten se hyödyntää käyttäjien käyttäytymiseen liittyvää matalan teknologian porsaanreikää. Huntressin tutkijat korostavat tämän hyväksikäytön alhaista pääsyn estettä ja korostavat tämän lähestymistavan yksinkertaisuutta.
Veistyssivulle upotettu JavaScript täyttää automaattisesti leikepöydän haitallisella komennolla. Tällaiset taktiikat kiertävät selaimen suojausohjauksia, kuten SmartScreeniä, joka yleensä ilmoittaa haitallisista latauksista, mutta ei manuaalista komentojen suorittamista.
Tämän vektorin lieventämiseksi järjestelmänvalvojat voivat poistaa Suorita-ruudun käytöstä
-komennolla
.”HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”/v NoRun/t REG_DWORD/d 1/f
Riippuvuus manuaalisesta käyttäjän syötöstä merkitsee tämän”ihmiskeskeiseksi”hyväksikäytöksi eikä Windowsin tekniseksi haavoittuvuudeksi.
