Pošto je korisnik taj koji nesvjesno pokreće zlonamjerni kod, tradicionalni antivirus često ne može da prepozna napad.
Istraživač Danijel B. iz britanskog NHS-a, otkrio je kampanju koja je počela prije oko mjesec dana na domenu groupewadesecurity[.]com. Kada žrtva otvori ovaj sajt na računaru ili telefonu, ekran iznenada prelazi u nešto što izgleda kao pravi plavi ekran Windows ažuriranja.
Lažno ažuriranje je samo pregledač u fullscreen modu, uz pomoć Fullscreen API-ja. Napad imitira poznati plavi ekran i prikazuje instrukcije kao da dolaze iz operativnog sistema.
Interfejs zatim traži od korisnika da pritisne tastere Windows + R, što otvara Run prozor na Windowsu. U pozadini, sajt tiho ubacuje komandu u clipboard. Sljedeći korak koji napadač traži je da korisnik pritisne tastere CTRL + V, pa Enter, čime žrtva sama izvršava kod preuzet sa servera napadača.
Ovaj pristup je nova varijanta taktike poznate kao ClickFix, koja posljednjih godinu dana navodi korisnike da pokreću komande koje preuzimaju i instaliraju malver. Prethodne ClickFix kampanje imitirale su CAPTCHA stranice, poruke Chrome-a o greškama i državne portale.
„Novije ClickFix kampanje poput ovih lažnih Windows stranica za ažuriranje su podsjetnik da su oprez korisnika i obuka podjednako važni kao i tehnička odbrana“, istakao je Danijel B.
Nijedan legitiman sajt neće tražiti od korisnika da izvršavaju takve komande na nivou sistema. Pošto je lažni ekran samo kartica pregledača u režimu celog ekrana, zatvaranje kartice ili pregledača odmah zaustavlja napad. Chrome i drugi pregledači prikazuju upozorenje kada stranica neočekivano pređe u režim cijelog ekrana.
Uprkos tome, broj ClickFix kampanja ubrzano raste. Pošto je korisnik taj koji nesvjesno pokreće zlonamjerni kod, tradicionalni antivirus često ne može da prepozna napad. ClickFix može da vodi do širokog spektra prijetnji: infostealera, ransomware-a, RAT alata, kriptomajnera, post-eksploatacionih alata, pa čak i malvera povezanih sa državama.
(Informacija/Mondo)