Directoratul Național de Securitate Ciberbetică (DNSC) avertizează asupra faptului că APT Lazarus, grup asociat Coreei de Nord, exploatează tehnica ClickFix pentru distribuirea de malware. Este o amenințare serioasă, potrivit specialiștilor, întrucât poate ocoli măsurile obișnuite de protecție și poate conduce la acces neautorizat, furt de informații și instalarea unor programe periculoase.
”Grupul APT Lazarus, asociat Coreei de Nord, este cunoscut pentru campanii cibernetice complexe ce vizează atât organizații guvernamentale, cât și companii din domeniul tehnologiei. În ultima perioadă, Lazarus a adoptat o nouă metodă de inginerie socială denumită ClickFix, care combină elemente de phishing și execuție de comenzi rău intenționate pentru a compromite țintele selectate”, au transmis, miercuri, reprezentanții DNSC.
Potrivit acestora, atacul se bazează pe tehnici de inginerie socială prin website-uri false, oferte de angajare disimulate sau actualizări software fictive, iar exploatarea este posibilă prin interacțiunea directă a victimei, care rulează comenzile periculoase copiate în clipboard, scrie News.ro.
CE ESTE ClickFix ?
ClickFix este o tehnică de inginerie socială ce păcălește utilizatorii să execute comenzi PowerShell periculoase.
Procesul este conceput astfel:
-
Utilizatorul este atras către o pagină web sau un scenariu aparent legitim (interviu de angajare, test tehnic, actualizare de software).
-
Paginile afișează instrucțiuni care copiază automat comenzi periculoase în clipboard.
-
Victima este îndemnată să ruleze aceste comenzi în terminal, sub pretextul rezolvării unei probleme tehnice urgente.
”Odată executate, comenzile pot descărca și instala malware, deschide sesiuni de comunicare cu servere de comandă și control, precum și exfiltra date sensibile. Scorul de severitate este ridicat, deoarece tehnica exploatează încrederea utilizatorului, poate ocoli filtrele tradiționale de securitate și poate conduce rapid la compromiterea completă a sistemului, ceea ce duce la acces neautorizat, exfiltrarea credențialelor și a datelor sensibile, instalarea de backdoor-uri persistente și facilitarea atacurilor ulterioare, precum mișcarea laterală sau ransomware”, mai transmis specialiștii.
Aceștia transmit o serie de recomandări:
-
Instruirea utilizatorilor să nu ruleze, în terminal, comenzi primite din surse externe neautorizate.
-
Restricționarea PowerShell prin limitarea execuției la scripturi semnate digital, sau chiar reducerea ariei de execuție doar la utilizatorii cu rol de administrator.
-
Blocarea domeniilor și adreselor IP periculoase prin folosirea listelor cu indicatorii de compromitere disponibile public.
-
Politici privind reducerea drepturilor utilizatorilor pentru a limita impactul unei compromiteri.
-
Implementarea autentificării multi-factor (MFA) pentru accesul la resurse critice.
-
Actualizarea regulată a sistemelor și aplicațiilor pentru a elimina vulnerabilitățile cunoscute.
”Tehnica ClickFix folosită de grupul APT Lazarus este o amenințare serioasă, aceasta poate ocoli măsurile obișnuite de protecție și poate conduce la acces neautorizat, furt de informații și instalarea unor programe periculoase. Aplicând recomandările de securitate și informând mai bine utilizatorii, organizațiile pot reduce riscurile și pot detecta mai repede astfel de atacuri”, a mai transmis DNSC.
