ALERTĂ DNSC: APT Lazarus exploatează tehnica ClickFix pentru distribuirea de malware

CINE ESTE APT LAZARUS ?

Grupul APT Lazarus, asociat Coreei de Nord, este cunoscut pentru campanii cibernetice complexe ce vizează atât organizații guvernamentale, cât și companii din domeniul tehnologiei. În ultima perioadă, Lazarus a adoptat o nouă metodă de inginerie socială denumită ClickFix, care combină elemente de phishing și execuție de comenzi rău intenționate pentru a compromite țintele selectate.

Atacul se bazează pe tehnici de inginerie socială prin website-uri false, oferte de angajare disimulate sau actualizări software fictive, iar exploatarea este posibilă prin interacțiunea directă a victimei, care rulează comenzile periculoase copiate în clipboard.

 CE ESTE ClickFix ?

ClickFix este o tehnică de inginerie socială ce păcălește utilizatorii să execute comenzi PowerShell periculoase. Procesul este conceput astfel:

• Utilizatorul este atras către o pagină web sau un scenariu aparent legitim (interviu de angajare, test tehnic, actualizare de software).
• Paginile afișează instrucțiuni care copiază automat comenzi periculoase în clipboard.
• Victima este îndemnată să ruleze aceste comenzi în terminal, sub pretextul rezolvării unei probleme tehnice urgente.

Odată executate, comenzile pot descărca și instala malware, deschide sesiuni de comunicare cu servere de comandă și control, precum și exfiltra date sensibile.

Scorul de severitate este ridicat, deoarece tehnica exploatează încrederea utilizatorului, poate ocoli filtrele tradiționale de securitate și poate conduce rapid la compromiterea completă a sistemului, ceea ce duce la acces neautorizat, exfiltrarea credențialelor și a datelor sensibile, instalarea de backdoor-uri persistente și facilitarea atacurilor ulterioare, precum mișcarea laterală sau ransomware.

INDICATORI DE COMPROMITERE

Adresă IP asociată serverului de comandă și control (C2) utilizat pentru comunicarea cu sistemele compromise:

• 45[.]159[.]248[.]110

Link-ul rău intenționat ce distribuie arhiva infectată „nvidiaRelease.zip”, folosită ca prim vector de livrare a malware-ului:

• Hxxps[://]driverservices.store/visiodrive/nvidiaRelease.zip

Hash-ul fișierelor periculoase (SHA-256) prezente în arhiva „nvidiaRelease.zip”:

• ECA28846927128A8304DE8BD312208EA8BCD66A1AB3A0250C097A32D948C1453 – nvidiaRelease.zip
• 979D20F83F4E992F96F6A23B5119E84959CE82F4A7D4AF78B4094B87A05B6260 – drvUpdate.exe
• 61525E782CDE36D5ED807084F6427D06F2915114B8DC7B33FEBD3B2566115541 – main.js
• F7AED56F109CB1E86D84E756A24625277D9EB7D54A8342B156DBEDAE54B3E569 – run.vbs
• 5EE129012B6ACB2D9D30A07055B70BC056D7E3263FBA8096ED453F78249A2630 – shell.bat

RECOMANDĂRI GENERALE

• Instruirea utilizatorilor să nu ruleze, în terminal, comenzi primite din surse externe neautorizate.
• Restricționarea PowerShell prin limitarea execuției la scripturi semnate digital, sau chiar reducerea ariei de execuție doar la utilizatorii cu rol de administrator.
• Blocarea domeniilor și adreselor IP periculoase prin folosirea listelor cu indicatorii de compromitere disponibile public.
• Politici privind reducerea drepturilor utilizatorilor pentru a limita impactul unei compromiteri.
• Implementarea autentificării multi-factor (MFA) pentru accesul la resurse critice.
• Actualizarea regulată a sistemelor și aplicațiilor pentru a elimina vulnerabilitățile cunoscute.

CONCLUZII

Tehnica ClickFix folosită de grupul APT Lazarus este o amenințare serioasă, aceasta poate ocoli măsurile obișnuite de protecție și poate conduce la acces neautorizat, furt de informații și instalarea unor programe periculoase. Aplicând recomandările de securitate și informând mai bine utilizatorii, organizațiile pot reduce riscurile și pot detecta mai repede astfel de atacuri.

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.