Directoratul Naţional de Securitate Ciberbetică (DNSC) avertizează, miercuri, asupra faptului că APT Lazarus, grup asociat Coreei de Nord, exploatează tehnica ClickFix pentru distribuirea de malware. Este o ameninţare serioasă, potrivit specialiştilor, întrucât poate ocoli măsurile obişnuite de protecţie şi poate conduce la acces neautorizat, furt de informaţii şi instalarea unor programe periculoase.
”Grupul APT Lazarus, asociat Coreei de Nord, este cunoscut pentru campanii cibernetice complexe ce vizează atât organizaţii guvernamentale, cât şi companii din domeniul tehnologiei. În ultima perioadă, Lazarus a adoptat o nouă metodă de inginerie socială denumită ClickFix, care combină elemente de phishing şi execuţie de comenzi rău intenţionate pentru a compromite ţintele selectate”, au transmis, miercuri, reprezentanţii DNSC.
Potrivit acestora, atacul se bazează pe tehnici de inginerie socială prin website-uri false, oferte de angajare disimulate sau actualizări software fictive, iar exploatarea este posibilă prin interacţiunea directă a victimei, care rulează comenzile periculoase copiate în clipboard.
CE ESTE ClickFix ?
ClickFix este o tehnică de inginerie socială ce păcăleşte utilizatorii să execute comenzi PowerShell periculoase.
Procesul este conceput astfel:
-
Utilizatorul este atras către o pagină web sau un scenariu aparent legitim (interviu de angajare, test tehnic, actualizare de software).
-
Paginile afişează instrucţiuni care copiază automat comenzi periculoase în clipboard.
-
Victima este îndemnată să ruleze aceste comenzi în terminal, sub pretextul rezolvării unei probleme tehnice urgente.
”Odată executate, comenzile pot descărca şi instala malware, deschide sesiuni de comunicare cu servere de comandă şi control, precum şi exfiltra date sensibile. Scorul de severitate este ridicat, deoarece tehnica exploatează încrederea utilizatorului, poate ocoli filtrele tradiţionale de securitate şi poate conduce rapid la compromiterea completă a sistemului, ceea ce duce la acces neautorizat, exfiltrarea credenţialelor şi a datelor sensibile, instalarea de backdoor-uri persistente şi facilitarea atacurilor ulterioare, precum mişcarea laterală sau ransomware”, mai transmis specialiştii.
Aceştia transmit o serie de recomandări:
-
Instruirea utilizatorilor să nu ruleze, în terminal, comenzi primite din surse externe neautorizate.
-
Restricţionarea PowerShell prin limitarea execuţiei la scripturi semnate digital, sau chiar reducerea ariei de execuţie doar la utilizatorii cu rol de administrator.
-
Blocarea domeniilor şi adreselor IP periculoase prin folosirea listelor cu indicatorii de compromitere disponibile public.
-
Politici privind reducerea drepturilor utilizatorilor pentru a limita impactul unei compromiteri.
-
Implementarea autentificării multi-factor (MFA) pentru accesul la resurse critice.
-
Actualizarea regulată a sistemelor şi aplicaţiilor pentru a elimina vulnerabilităţile cunoscute.
”Tehnica ClickFix folosită de grupul APT Lazarus este o ameninţare serioasă, aceasta poate ocoli măsurile obişnuite de protecţie şi poate conduce la acces neautorizat, furt de informaţii şi instalarea unor programe periculoase. Aplicând recomandările de securitate şi informând mai bine utilizatorii, organizaţiile pot reduce riscurile şi pot detecta mai repede astfel de atacuri”, a mai transmis DNSC.
