Юзеры сами ставят троян, спасаясь от фейкового BSOD

Засветилась новая хацкерская компания, которая бьет по корпоративному сектору через социальную инженерию. Хацкеры используют технику ClickFix, эксплуатируя человеческую панику. Схема достойная...сотруднику атакующейся компании приходит уведомление о критической финансовой проблеме, большом штрафе, отмене важной транзакции или срочном счете. Человек в ужасе переходит по ссылке, чтобы разобраться, видит фэйковую морду сайта, и тут - внезапно! - страница имитирует зависание и выдает BSOD прямо в браузере ?

Поверх фэйкового бсода появляется инструкция...(Чтобы починить, нажмите Win+R, затем Ctrl+V и Enter). Жертва, думая, что спасает компьютер, своими руками вставляет в консоль PowerShell-дроппер, который скрипт на сайте уже положил в буфер обмена. Дальше начинается магия. Скрипт не качает EXE напрямую. Он загружает .proj файл (XML-проект) и скармливает его легитимной системной утилите MSBuild.exe. Поскольку MSBuild это доверенный компонент Windows с цифровой подписью Microsoft, многие антивирусы и EDR пропускают этот процесс, позволяя ему скомпилировать и выполнить вредоносный код в памяти.

Для закрепления атакующие используют ловкий трюк. Они создают в папке автозагрузки файл DeleteApp.url. Админ или умный юзверь, увидев такое название, подумает, что это просто остаток от какого-то деинсталлятора. Но внутри ярлыка прописан file:///, который вместо открытия сайта запускает локальную копию трояна. В итоге хацкеры получают полный контроль над системой, кейлоггер и VNC, а пользователь уверен, что он просто САМ всё починил ?

Получается, если ваш EDR доверяет MSBuild по умолчанию, то самое время пересмотреть политики.

Источник: vk.com

Комментарии: