ClickFix-kampanjer sprer nye malware-loadere via falske oppdateringer.
ClickFix-kampanjer sprer nye malware-loadere via falske oppdateringer
Flere pågående ClickFix-kampanjer bruker sosial manipulering for å lure brukere til å kjøre PowerShell-kommandoer som installerer nye loadere som BabaDeda, Lorem Ipsum og Potemkin. Disse laster ned infostealere, RATs og i noen tilfeller ransomware, ofte via teknikker som in-memory kjøring, DLL side-loading og skjulte payloads.
Kampanjene bruker kompromitterte WordPress-sider og falske nettleseroppdateringer for å nå mange brukere. Aktører som Vanilla Tempest kobles til aktivitet som kan ende i ransomware-angrep. Potemkin skiller seg ut ved bruk av domain generation (DGA) og videre manuell kompromittering med lateral spredning i nettverk.
ClickFix fungerer fordi brukere følger tilsynelatende legitime instruksjoner, og er spesielt skummelt der brukeren har forhøyede rettigheter.
Anbefaling:
Unngå å lime inn kommandoer fra nettsider, og styrk overvåking av PowerShell og uvanlig prosessaktivitet. Generell brukeropplæring og bevisstgjøring rundt sikkerhet.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.