מתקפת סייבר חדשה מפיצה נוזקות באמצעות הצגת בשגיאות מזויפות של Google Chrome, Word ו- OneDrive, כדי להערים על משתמשים להפעיל 'תיקוני PowerShell' זדוניים אשר בסופו של דבר מתקינים נוזקות. מתקפת סייבר זו נמצאת בשימוש פושעי סייבר רבים, כולל אלו שמאחורי ClearFake, אשכול תקיפה חדש בשם ClickFix וקבוצת TA571 הידועה כמי שפועלת כמפיצת דואר זבל. מתקפות ClearFake קודמות משתמשות בשכבות-על של אתרים המבקשים מהמבקרים להתקין עדכון דפדפן מזויף אשר מתקין נוזקות.
פושעי סייבר משתמשים גם ב- JavaScript בקבצי HTML ואתרים שנפגעו במתקפות הסייבר החדשות. עם זאת, מציגות כעת שכבות-העל שגיאות מזויפות של Google Chrome, Microsoft Word ו- OneDrive. שגיאות אלו מנחות את המבקר ללחוץ על כפתור כדי להעתיק 'תיקון' של PowerShell ללוח ולאחר מכן להדביק ולהפעיל אותו בתיבת דו-שיח הפעלה או בשורת PowerShell.
"למרות ששרשרת ההתקפה דורשת אינטראקציה משמעותית של משתמשים כדי להצליח, ההנדסה החברתית חכמה מספיק כדי להציג למישהו מה שנראה כמו בעיה ופתרון אמיתיים בו-זמנית, מה שעשוי לגרום למשתמש לנקוט פעולה מבלי להתחשב בסיכון", מזהיר חדש דוח של ProofPoint. אנליסטים של Proofpoint צפו בשלוש שרשראות תקיפה הנבדלות בעיקר בשלבים הראשוניים שלהן. במקרה הראשון הזה, המשויך לפושעי הסייבר שמאחורי ClearFake, משתמשים מבקרים באתר אינטרנט שנפרץ הטוען סקריפט זדוני המתארח בבלוקצ'יין באמצעות חוזי Smart Chain של Binance. סקריפט זה מבצע מספר בדיקות ומציג אזהרת Google Chrome מזויפת המציינת בעיה בהצגת דף האינטרנט. לאחר מכן מבקשת תיבת הדו-שיח מהמבקר להתקין 'אישור שורש' על ידי העתקת סקריפט PowerShell ללוח של Windows והפעלתו במסוף Windows PowerShell (Admin). כאשר הסקריפט של PowerShell מבוצע, הוא יבצע שלבים שונים ולאחר מכן הוא יתקין נוזקות נוספות. שרשרת ההתקפה השנייה משויכת למתקפת ClickFix ומשתמשת באתרי אינטרנט שנפגעו ליצירת iframe לכיסוי שגיאה מזויפת נוספת של Google Chrome. משתמשים מתבקשים לפתוח את Windows PowerShell (Admin) ולהדביק את הקוד הזדוני שסופק. לבסוף, שרשרת הדבקה מבוססת דוא"ל המשתמשת בקבצי HTML הדומים למסמכי Microsoft Word, מבקשת מהמשתמשים להתקין את התוסף Word Online כדי להציג את המסמך בצורה נכונה.
הודעת השגיאה מציעה אפשרויות 'כיצד לתקן' ו'תיקון אוטומטי', כאשר 'כיצד לתקן' מעתיקה פקודת PowerShell מקודדת base64 ללוח ומורה למשתמש להדביק אותה ב- PowerShell. הפקודות של PowerShell מורידות ומבצעות קובץ MSI או סקריפט VBS, מה שמוביל לזיהומים של Matanbuchus או DarkGate, בהתאמה. בכל המקרים מנצלים פושעי הסייבר את חוסר המודעות של המטרות שלהם לגבי הסיכונים של ביצוע פקודות PowerShell במערכות המחשוב שלהם. הם גם מנצלים את חוסר היכולת של Windows לזהות ולחסום את הפעולות הזדוניות שיזם הקוד המודבק. יש לציין כי שרשראות התקיפה השונות מראות ש- TA571 מתנסים באופן פעיל במספר שיטות כדי לשפר את היעילות ולמצוא נתיבי זיהום נוספים כדי לסכן מספר גדול יותר של מערכות מחשוב.
