Stručnjaci za kibernetičku sigurnost upozorili su na evoluciju ClickFix napada, koji sada stvaraju stvarne probleme umjesto da samo uvjeravaju žrtve da problem postoji. Nova varijanta koristi lažni bloker oglasa nazvan NexShield za širenje zlonamjernog softvera.
Napad namjerno uzrokuje rušenje internetskih preglednika, a zatim navodi korisnike da putem naredbenog retka instaliraju opasni trojanac ModeloRAT. Iako je glavna meta hakerske skupine KongTuke trenutno poslovni sektor, postoji bojazan da bi se u budućnosti na udaru mogli naći i privatni korisnici.
U svojim prijašnjim oblicima, ClickFix se najčešće pojavljivao kao skočni prozor na web stranici ili kao lažni .docx ili .pdf dokument. Žrtvama bi bila prikazana poruka kako ne mogu vidjeti sadržaj stranice ili otvoriti dokument dok ne “poprave” navodni problem. Rješenje se sastojalo od kopiranja i lijepljenja naredbe u Windows Run program.
Naravno, stvarnog problema nikada nije bilo, a korisnici bi izvršavanjem naredbe zapravo samo instalirali zlonamjerni softver na svoje računalo, no ta se taktika sada promijenila, piše Tech Radar.
Najnovija varijanta napada vrti se oko lažnog dodatka za blokiranje oglasa za preglednike Chrome i Edge, koji nosi naziv NexShield. Iza ovog softvera stoji hakerska skupina poznata kao KongTuke, a radi se o prilično razrađenoj shemi koja uključuje i namjenske web stranice koje oponašaju službene repozitorije preglednika, pri čemu je zlonamjerni softver bio prisutan čak i na službenim trgovinama aplikacija. Da bi prevara bila uvjerljivija, hakeri lažno tvrde da je autor dodatka Raymond Hill, stvarna osoba koja stoji iza popularnog i legitimnog ad blockera uBlock Origin, kojeg koristi četrnaest milijuna ljudi.
Kako bi osigurali da se napad ne može odmah povezati s instaliranim dodatkom, zlonamjerna aktivnost započinje tek jedan sat nakon instalacije. Po isteku tog vremena, softver stvara takozvano “denial-of-service” (DoS) stanje koje uzrokuje potpuno rušenje preglednika, prisiljavajući korisnika da otvori Task Manager i ručno ga ponovno pokrene.
Prilikom ponovnog pokretanja, dodatak prikazuje lažnu poruku o pogrešci te, u tipičnom stilu ClickFix napada, nudi i rješenje za navodni problem.
Ponuđeno “rješenje” sastoji se od kopiranja i lijepljenja naredbe u Windows Command Prompt, što zauzvrat pokreće preuzimanje i instalaciju ModeloRAT-a. Radi se o trojancu za daljinski pristup koji napadačima omogućuje potpunu kontrolu nad zaraženim uređajem.
Sigurnosni istraživači iz tvrtke Huntress, koji su prvi uočili ovaj napad, tvrde da KongTuke primarno cilja poslovne korisnike, dok su pojedinci i privatni korisnici za sada pošteđeni. To, međutim, ne znači da se opseg napada neće proširiti u budućnosti.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu