Новая атака ClickFix использует утилиту nslookup для доставки PowerShell-нагрузки через DNS

Злоумышленники начали использовать DNS-запросы в атаках типа ClickFix для доставки вредоносного ПО. Зафиксирован первый известный случай, когда в подобных кампаниях DNS применяется как канал передачи данных.

Атаки ClickFix строятся на социальной инженерии. Пользователю предлагают «исправить ошибку», «установить обновление» или «включить нужную функцию», и под этим предлогом заставляют вручную выполнить вредоносную команду.

В новой версии атаки применяется другой подход: подконтрольный атакующим DNS-сервер передает вторую стадию вредоносной нагрузки через DNS-запрос.

DNS-запрос возвращает вредоносный PowerShell-скрипт

В новой кампании ClickFix, обнаруженной Microsoft, жертв просят выполнить команду nslookup, которая обращается не к стандартному DNS-серверу системы, а к серверу злоумышленников.

В ответ на запрос сервер возвращает данные, содержащие вредоносный PowerShell-скрипт. Этот скрипт затем выполняется на устройстве и устанавливает вредоносное ПО.

В посте Microsoft Threat Intelligence в соцсети X отмечается:

Исследователи Microsoft Defender зафиксировали, что злоумышленники применяют еще один способ обхода защит в рамках техники ClickFix: они просят жертву запустить команду, которая выполняет нестандартный DNS-запрос и извлекает из поля Name: в ответе сервера полезную нагрузку следующего этапа для ее последующего выполнения.

Пока неизвестно, какой именно предлог используется для убеждения пользователей. Однако Microsoft сообщает, что жертве предлагают вставить команду в окно «Выполнить».

Команда отправляет DNS-запрос к домену example.com на сервер злоумышленников по адресу 84[.]21.189[.]20, а затем передает полученный ответ в интерпретатор команд Windows (cmd.exe) для выполнения.

В DNS-ответе в поле NAME: содержится вторая стадия PowerShell-команды, которая и запускается на устройстве.

Ответ DNS-запроса, содержащий вторую PowerShell-команду для выполнения. Источник: Microsoft

Сейчас этот сервер уже недоступен. Тем не менее Microsoft сообщает, что вторая стадия атаки загружала дополнительное вредоносное ПО с инфраструктуры злоумышленников.

В итоге на устройство загружается ZIP-архив, содержащий исполняемый файл Python и вредоносные скрипты. Они проводят разведку на зараженном устройстве и в доменной среде.

Для закрепления в системе создаются:

• файл %APPDATA%\WPy64-31401\python\script.vbs,
• ярлык %STARTUP%\MonitoringService.lnk, который запускает этот VBScript при старте Windows.

Финальной нагрузкой становится троян удаленного доступа ModeloRAT, который позволяет злоумышленникам полностью управлять зараженной системой.

В отличие от обычных атак ClickFix, где вредоносная нагрузка загружается по HTTP, в этом случае используется DNS как канал связи и доставки.

Использование DNS позволяет маскировать вредоносную активность под обычный сетевой трафик и при необходимости менять полезную нагрузку «на лету».

Атаки ClickFix быстро развиваются

За последний год атаки ClickFix заметно эволюционировали. Злоумышленники экспериментируют с новыми способами доставки и типами нагрузок, нацеленными на разные ОС.

Ранее кампании ClickFix строились на том, чтобы убедить пользователя вручную выполнить PowerShell- или shell-команды для установки вредоносного ПО.

В последних атаках методы расширились за пределы традиционной веб-доставки.

Например, в недавней кампании ConsentFix злоумышленники использовали OAuth-приложение Azure CLI для захвата учетных записей Microsoft без ввода пароля и с обходом многофакторной аутентификации (MFA).

На фоне роста популярности ИИ-моделей злоумышленники также начали использовать публичные страницы ChatGPT, Grok и Claude Artifact для размещения фальшивых инструкций по выполнению атак ClickFix.

Кроме того, недавно сообщалось о новой атаке ClickFix, распространяемой через комментарии на Pastebin. В этом случае пользователей бирж криптовалюты убеждали выполнить вредоносный JavaScript прямо в браузере, чтобы перехватить транзакции.

Это один из первых случаев, когда атака ClickFix была нацелена не на установку вредоносного ПО, а на выполнение JavaScript в браузере и перехват работы веб-приложения.