Onderzoekers ontdekten een nieuwe reeks ClickFix-aanvallen waarbij cybercriminelen een overtuigend nagemaakt Windows Update-scherm gebruiken om malware op systemen te installeren.
De aanvallen worden volgens BleepingComputer sinds begin oktober vastgesteld. Ze blijken bijzonder effectief doordat slachtoffers denken met een legitieme update van hun besturingssysteem te maken te hebben. De webpagina die zij zien neemt het volledige scherm over. Het vertoont animaties die sterk lijken op die van echte Windows-updates. Terwijl gebruikers geloven dat zij noodzakelijke handelingen verrichten om het updateproces te voltooien, voeren zij in werkelijkheid opdrachten uit die door de aanvallers zijn voorbereid.
Schadelijke instructies op het klembord
De technieken die in deze campagnes worden toegepast zijn een duidelijke evolutie van eerdere ClickFix-methoden. Waar vroeger eenvoudigweg commando’s werden gedeeld die gebruikers zelf moesten overnemen, zorgt nu een script op de webpagina ervoor dat schadelijke instructies automatisch op het klembord worden geplaatst.
Vervolgens krijgt de bezoeker de opdracht een toetscombinatie in te drukken. Dit, om het vermeende updateproces te vervolledigen. Dat leidt ertoe dat de gekopieerde commando’s direct worden uitgevoerd in de Windows-opdrachtprompt.
Een bijzonder element aan de nieuwste varianten is het gebruik van steganografie om de daadwerkelijke malware te verbergen in afbeeldingen. De aanvallers verwerken de schadelijke code niet als een toevoeging aan een bestaand bestand, maar plaatsen fragmenten van de payload in de pixelstructuur van PNG-afbeeldingen.
Volgens onderzoekers zijn specifieke kleurkanalen zo gemanipuleerd dat de uiteindelijke payload pas in het geheugen kan worden gereconstrueerd wanneer een daarvoor geschreven loader actief wordt.
Centrale rol voor PowerShell-scripts
De aanval begint doorgaans met het starten van mshta. Dat is een legitiem Windows-onderdeel dat JavaScript kan uitvoeren. Vervolgens starten cybercriminelen een keten van vervolgacties. In deze keten spelen PowerShell-scripts en een .NET-assembly een centrale rol. Die assembly, intern aangeduid als Stego Loader, bevat versleutelde resources die uiteindelijk de verborgen PNG bevatten. Door aangepaste C#-code wordt de inhoud ontsleuteld en omgezet in bruikbare shellcode.
Tijdens het onderzoek naar de werking van deze loader viel op dat de dreigingsactor een techniek gebruikt waarbij duizenden lege functies worden aangeroepen. En wel voordat de echte code draait. Deze methode bemoeilijkt analyse en detectie, omdat beveiligingssoftware hierdoor minder snel inzicht krijgt in het daadwerkelijke gedrag van de malware. Zodra deze laag is verwijderd, blijkt de uiteindelijke payload te bestaan uit varianten van informatie-stealers die zich richten op het verzamelen van gevoelige gegevens. Denk aan logins en browse-informatie.
Hoewel delen van de infrastructuur die bij deze aanvallen werd ingezet inmiddels zijn verstoord, blijven de misleidende webpagina’s online en vormt de techniek achter ClickFix een reële dreiging.