ClickFix është emri i një taktike të inxhinierisë sociale e përdorur që nga marsi me qëllim të instalimit të info-stealers në kompjuterin tuaj. Ekspertët e Sekoia së fundmi vunë re një version të përditësuar që synon Google Meet. Në raste të tjera, popullariteti i Facebook është shfrytëzuar.
Detajet e fushatës së malware
Në fillim të marsit, fushata ClickFix përdori phishing për të dërguar një bashkëngjitje HTML me mesazhe gabimi të rreme. Përdoruesit ishin të bindur të ekzekutonin një skript PowerShell që rregullonte problemet. Në realitet u instaluan infovjedhës të ndryshëm. Varianti i fundit i majit në vend të kësaj shfrytëzoi faqet e phishing për të shpërndarë malware.
Kohët e fundit, u përdorën faqe të rreme që shfaqnin gabime të Google Meet. Në praktikë, përdoruesit marrin ftesa (me sa duket legjitime) përmes emailit për të marrë pjesë në një takim nëpërmjet internetit. Duke klikuar në link hapet një faqe e ngjashme me atë të shërbimit e cila tregon probleme inekzistente me kufjet apo mikrofonin.
Nëse viktima që nuk dyshon klikon në butonat “Fix It” ose “Try Fix” në dritaret kërcyese, një skript PowerShell shkarkohet nga faqja. Ekzekutimi i tij automatik shkakton shkarkimin e malware, përkatësisht infostealer Stealc ose Rhadamanthys për Windows dhe AMOS Stealer për macOS.
Taktika të ngjashme janë përdorur për të synuar përdoruesit që përdorin shërbime të tjera të njohura, duke përfshirë Zoom dhe Facebook. Përveç atyre të listuara, shpërndahen edhe malware të tjerë të njohur, si DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, Vidar dhe Lumma Stealer.
Discussion about this post