Oprez! Lažne Stranice za Gitcode i DocuSign Distribuiraju Malware
U svijetu sigurnosti na internetu, nedavna otkrića istraživača ukazuju na ozbiljnu prijetnju. Lažne web stranice koje se predstavljaju kao Gitcode i DocuSign koriste metodologiju poznatu kao ClickFix za distribuciju malwarea, točnije, trojanskog konja za daljinski pristup (RAT). Istraživači iz DomainTools Investigations (DTI) otkrili su “maliciozne multi-stage downloader PowerShell skripte” koje su smještene na lažnim stranicama, a pozivaju posjetitelje da otvore Windows Run terminal i pokrenu skriptu koju su kopirali iz međuspremnika.
Kako Funkcionira Ova Prijetnja?
Prema izvještaju istraživača, kada korisnici preuzmu ovu skriptu, ona preuzima dodatne skripte i izvršava ih na sustavu, što u konačnici instalira NetSupport RAT na zaražene uređaje. Ovaj višestupanjski proces i preuzimanja osmišljeni su kako bi izbjegli otkrivanje i učinili kampanju otpornijom na sigurnosne istrage i uklanjanja.
Načini na Koje Žrtve Dolaze na Lažne Stranice
Iako istražitelji nisu mogli točno potvrditi kako žrtve završavaju na ovim lažnim stranicama, pretpostavlja se da su socijalni inženjering, spam emailovi i potencijalno malvertising dio ove metodologije. U nekim slučajevima, lažne web stranice također koriste fiktivni CAPTCHA mehanizam koji traži od žrtava da kopiraju i zalijepu kod u Run program, čime se zapravo preuzima malware.
Osnovni Podaci o Napadačima i Metodama
TDI nije mogla potvrditi identitet napadača, ali su napomenuli da su uočili sličnu kampanju krajem 2024. godine, koja se pripisivala grupi SocGholish. “Važno je napomenuti da su uključene tehnike uobičajene i da je NetSupport Manager legitiman alat za administraciju koji koriste brojni zločinački grupi poput FIN7, Scarlet Goldfinch, Storm-0408, i drugih”, zaključak je izvještaja.
Što je SocGholish?
SocGholish, poznat i kao FakeUpdates, ističe se lažnim obavijestima o ažuriranju preglednika i softvera. Kada zloćudni subjekti kompromitiraju web stranicu, ubrizgavaju skočni prozor koji posjetiteljima javlja da je njihov preglednik ili operativni sustav potrebno “popraviti” ili “ažurirati”. Ovo je “izvorna” ClickFix metoda, koja je proizašla iz starih skočnih prozora koji su insinuirali prisutnost virusa, ali su zapravo isporučivali viruse.
Zaključak
Ova otkrića naglašavaju važnost opreza prilikom surfanja internetom, a posebno tokom preuzimanja softvera. Širenje malwarea putem lažnih web stranica predstavlja ozbiljnu prijetnju sigurnosti korisnika, stoga je ključno informirati se o ovim rizicima i poduzeti mjere zaštite. Uvijek provjeravajte autentičnost web stranica i budite svjesni potencijalnih oblika socijalnog inženjeringa koji mogu dovesti do zaražavanja vašeg sustava.
