Chiến dịch này liên quan đến nhiều tác nhân đe dọa, bao gồm những kẻ đứng sau ClearFake - một nhóm tấn công mới có tên ClickFix và TA571, nhóm đe dọa được biết đến với việc gửi lượng lớn thư (email) rác, dẫn đến lây nhiễm phần mềm độc hại và ransomware.

Các cuộc tấn công ClearFake trước đây sử dụng lớp phủ (website overlay) để lừa mục tiêu cài đặt bản cập nhật trình duyệt giả mạo dẫn đến lây nhiễm phần mềm độc hại.

Các tác nhân đe dọa cũng sử dụng JavaScript trong tệp đính kèm HTML và các trang web bị xâm nhập trong các cuộc tấn công mới. Các cuộc tấn công overlay hiển thị các thông báo lỗi giả mạo của Google Chrome, Microsoft Word và OneDrive.

Những lỗi này nhắc khách truy cập nhấp vào nút để sao chép "bản vá" PowerShell vào vùng nhớ tạm (clipboard), sau đó dán và thực thi nó trong hộp thoại Run hoặc PowerShell prOmpt.

Các mẫu phần mềm độc hại mà Proofpoint phát hiện bao gồm DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig và Lumma Stealer.

Các chuỗi lây nhiễm mã độc

Proofpoint đã phát hiện ba chuỗi tấn công khác nhau trong chiến dịch phát tán mã độc mới này.

Trường hợp đầu tiên liên quan đến các tác nhân đe dọa đằng sau ClearFake, người dùng truy cập một trang web bị xâm nhập để tải tập lệnh độc hại được lưu trữ trên blockchain thông qua các ‘Smart Chain contract’ của Binance.

Tập lệnh này thực hiện một số kiểm tra và hiển thị cảnh báo giả mạo của Google Chrome cho biết có sự cố khi hiển thị trang web. Sau đó, hộp thoại sẽ nhắc người dùng cài đặt "root certificate" bằng cách sao chép tập lệnh PowerShell vào clipboard của Windows và chạy tập lệnh đó trong bảng điều khiển Windows PowerShell [với quyền quản trị viên/admin].

- Xóa bộ đệm DNS.

- Xóa nội dung clipboard.

- Hiển thị tin nhắn mồi nhử.

- Tải xuống tập lệnh PowerShell khác dùng để thực hiện các kiểm tra chống máy ảo (anti-VM) trước khi tải xuống phần mềm đánh cắp thông tin.

Chuỗi tấn công thứ hai liên quan đến chiến dịch 'ClickFix' đang lạm dụng các trang web bị xâm phạm để tạo một iframe nhằm phủ lên một thông báo lỗi Google Chrome giả mạo khác. Người dùng được hướng dẫn mở "Windows PowerShell (Admin)" và dán mã được cung cấp, dẫn đến các trường hợp lây nhiễm tương tự nêu trên.

Cuối cùng, chuỗi lây nhiễm dựa trên email sử dụng tệp đính kèm HTML giống với tài liệu Microsoft Word sẽ nhắc người dùng cài đặt tiện ích "Word Online" để xem tài liệu.

Thông báo lỗi cung cấp các tùy chọn "Cách khắc phục" (How to fix) và "Tự động vá" (Auto-fix), trong đó tùy chọn "Cách khắc phục" sao chép lệnh PowerShell được mã hóa base64 vào clipboard, hướng dẫn người dùng dán lệnh đó vào PowerShell. "Tự động vá" sử dụng giao thức search-ms để hiển thị tệp "fix.msi" hoặc "fix.vbs" được lưu trữ trên WebDAV trên một tệp chia sẻ do kẻ tấn công kiểm soát từ xa.

Trong mọi trường hợp, kẻ tấn công khai thác sự thiếu cảnh giác của mục tiêu về những rủi ro khi thực thi lệnh PowerShell trên hệ thống của họ và lợi dụng việc Windows không có khả năng phát hiện và ngăn chặn các hành động độc hại do mã dán gây ra.

Các chuỗi tấn công khác nhau cho thấy TA571 đang tiến hành thử nghiệm nhiều phương pháp để tăng tỉ lệ thành công và tìm nhiều cách lây nhiễm hơn nhằm xâm phạm số lượng lớn hơn các hệ thống.

Để bảo vệ mình trước các chiến dịch độc hại như vậy, người dùng luôn phải cảnh giác khi nhận được các email lạ hay thông báo lỗi/thông báo cập nhật đáng ngờ, tuyệt đối KHÔNG nhấp vào liên kết hoặc mở tệp đính kèm từ các nguồn không tin cậy. Người dùng chỉ nên cài đặt các bản cập nhật phần mềm từ nguồn chính thức như trang web của nhà cung cấp hoặc qua tính năng cập nhật tự động của phần mềm.