Ny DriveSurge trusselaktør bruker ClickFix og falske oppdateringer for å infisere besøkende på nettstedet. SmartApeSG kampanje bruker ClickFix teknikk for å distribuere NetSupport RAT.
Ny DriveSurge trusselaktør bruker ClickFix og falske oppdateringer for å infisere besøkende på nettstedet
DriveSurge er en ny identifisert trusselaktør som har kompromittert tusenvis av legitime nettsteder og bruker zTDS (Traffic Distribution System) til å omdirigere besøkende til skadevarekampanjer. Angrepene benytter enten falske nettleseroppdateringer (FakeUpdates) eller ClickFix teknikker som instruerer brukere til å lime inn ondsinnede kommandoer i PowerShell eller terminalvinduer. Den injiserte JavaScript-koden profilerer offerets operativsystem, nettleser og annen informasjon før passende angrepsmetode velges. Forskningen beskriver flere identifiserbare infrastrukturmønstre, inkludert spesifikke JavaScript-filer som t.js, ext-b.*.js og jsrepo, samt bruk av base64 obfuskering for å skjule zTDS komponenter. En analysert macOS payload lastes ned fra IP adressene 46.226.166[.]57 og 147.45.42[.]200, etablerer deretter C2-kommunikasjon mot 147.45.42[.]205:8133 og inneholder logikk for miljøprofilering og utklippsmanipulering. Aktøren ser ut til å operere som en Initial Access Broker med Pay-Per-Install modell der kompromitterte systemer videreselges til andre aktører
Blokker og overvåk kjente DriveSurge-indikatorer, inkludert zTDS-relatert JavaScript-innhold og kommunikasjon mot identifiserte C2-adresser.
SmartApeSG kampanje bruker ClickFix teknikk for å distribuere NetSupport RAT
SmartApeSG, også kjent som ZPHP eller HANEY MANEY, bruker kompromitterte nettsteder til å distribuere NetSupport RAT gjennom ClickFix baserte angrep. Besøkende blir presentert for en falsk CAPTCHA side som ber dem bekrefte at de er mennesker, men formålet er å få brukeren til å utføre ondsinnede kommandoer manuelt. Den injiserte JavaScript koden aktiveres bare under bestemte forhold og starter en infeksjonskjede som installerer NetSupport RAT på Windows-systemer. Angrepet har utviklet seg fra falske nettleseroppdateringer til ClickFix teknikker som gjør sosial manipulering mer troverdig og vanskeligere å oppdage. NetSupport RAT gir angriperen ekstern tilgang til det kompromitterte systemet og kan brukes til videre kontroll og aktivitet på maskinen. Kampanjen er observert på kompromitterte nettsteder hvor skjulte skript brukes til å omdirigere brukere til de falske verifikasjonssidene.
Overvåk kompromitterte nettsteder for uautoriserte JavaScript injeksjoner og blokker ClickFix relaterte verifikasjonssider som ber brukere kjøre kommandoer manuelt.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.