أخطاء مزيفة في Google Chrome تخدعك لتشغيل برامج PowerShell خبيثة
حملة برمجيات ضارة جديدة تستخدم أخطاء مزيفة في Google Chrome، Word، وOneDrive لخداع المستخدمين لتشغيل "إصلاحات" ضارة بواسطة PowerShell لتثبت برمجيات ضارة.
استخدام هذه الحملة الجديدة من قبل عدة جهات هجومية، بما في ذلك الجهات التي تقف وراء ClearFake ومجموعة هجمات جديدة تُعرف باسم ClickFix، بالإضافة إلى جهاز التهديد TA571 المعروف بأنه موزع لرسائل البريد الإلكتروني بكميات كبيرة، مما يؤدي إلى عدوى برمجيات ضارة وبرامج فدية.
في هجمات ClearFake السابقة، يستخدم المهاجمون مواقع الويب التي تطلب من الزوار تثبيت تحديث مزيف للمتصفح يثبت برمجيات ضارة.
تستخدم الجهات الفاعلة أيضًا JavaScript في مرفقات HTML ومواقع الويب المخترقة في الهجمات الجديدة. ومع ذلك، تعرض التراكبات الآن أخطاء مزيفة في Google Chrome وMicrosoft Word وOneDrive.
تطالب هذه الأخطاء الزائر بالنقر فوق زر "إصلاح" لنسخ PowerShell إلى الحافظة ثم لصقه وتشغيله في نافذة Run أو في نافذة PowerShell.
يحذر تقرير جديد من ProofPoint بأنه "على الرغم من أن سلسلة الهجمات تتطلب تفاعلًا كبيرًا من المستخدم لتكون ناجحة، فإن الهندسة الاجتماعية كافية لتقديم مشكلة وحل تبدو وكأنها حقيقية في نفس الوقت، مما قد يدفع المستخدم إلى اتخاذ إجراء دون النظر في المخاطر".
الحمولات التي تم رصدها من قبل Proofpoint تشمل DarkGate، Matanbuchus، NetSupport، Amadey Loader، XMRig، clipboard hijacker، وLumma Stealer.
"إصلاح" PowerShell يؤدي إلى ظهور برامج ضارة
محللو Proofpoint لاحظوا ثلاث سلاسل هجومية تختلف بشكل أساسي في مراحلها الأولية، حيث إن السلسلة الأولى هي الوحيدة التي لم يُنسب بشكل مؤكد ارتباطها بـ TA571 بشكل عالٍ.
في هذه الحالة الأولى، المرتبطة بجهات التهديد وراء ClearFake، يقوم المستخدمون بزيارة موقع ويب مخترق يحمل نصًا برمجيًا ضارًا مستضافًا على سلسلة كتل blockchain من خلال عقود Binance's Smart Chain.
يقوم هذا البرنامج النصي بإجراء بعض الفحوصات ويعرض تحذيرًا مزيفًا من Google Chrome يفيد بوجود مشكلة في عرض صفحة الويب. بعد ذلك، يطلب الحوار من الزائر تثبيت "root certificate" عن طريق نسخ برنامج PowerShell إلى الحافظة في Windows وتشغيله في وحدة تحكم Windows PowerShell (Admin).
عند تنفيذ برنامج PowerShell، سيقوم بتنفيذ خطوات مختلفة للتأكد من أن الجهاز هدف صالح، ثم سيقوم بتنزيل حمولات إضافية.
السلسلة الهجومية الثانية مرتبطة بحملة "ClickFix" وتستخدم الحقن في المواقع المخترقة التي تنشئ iframe ليعرض رسالة خطأ مزيفة أخرى لـ Google Chrome.
يُطلب من المستخدمين فتح "Windows PowerShell (Admin)" ولصق الكود المقدم، مما يؤدي إلى نفس العدوى المذكورة أعلاه.
أخيرًا، تستخدم سلسلة العدوى عبر البريد الإلكتروني مرفقات HTML تشبه مستندات Microsoft Word، حيث تطلب من المستخدمين تثبيت "Word Online" لعرض المستند بشكل صحيح.
تقدم رسالة الخطأ خيارات "كيفية الإصلاح" و "إصلاح تلقائي"، حيث يقوم خيار "كيفية الإصلاح" بنسخ أمر PowerShell المُشفر بترميز base64 إلى الحافظة، مع تعليم المستخدم لصقه في PowerShell.
خيار "إصلاح تلقائي" يستخدم بروتوكول search-ms لعرض ملف "fix.msi" أو "fix.vbs" المستضاف على WebDAV لمشاركة ملفات يتم التحكم فيها عن بُعد بواسطة المهاجم.
في هذه الحالة، تقوم أوامر PowerShell بتنزيل وتنفيذ ملف MSI أو برنامج VBS، مما يؤدي إلى الإصابة بـ Matanbuchus أو DarkGate على التوالي.
في جميع الحالات، يستغل المهاجمون عدم وعي أهدافهم بمخاطر تنفيذ أوامر PowerShell على أنظمتهم.
كما يستفيدون من عدم قدرة نظام التشغيل Windows على اكتشاف وحظر الإجراءات الخبيثة التي بدأتها الأوامر الملصقة.
تُظهر السلاسل الهجومية المختلفة أن TA571 يقوم بتجريب أساليب متعددة بنشاط لزيادة الفعالية وإيجاد مزيد من مسارات العدوى لاختراق عدد أكبر من الأنظمة.