Các trang Google Meet giả mạo cung cấp thông tin đánh cắp trong chiến dịch ClickFix đang diễn ra

Các tác nhân đe dọa đang tận dụng các trang web Google Meet giả mạo như một phần của chiến dịch phần mềm độc hại đang diễn ra có tên là ClickFix để cung cấp thông tin đánh cắp nhắm vào các hệ thống Windows và macOS.

"Chiến thuật này bao gồm việc hiển thị các thông báo lỗi giả mạo trong trình duyệt web để lừa người dùng sao chép và thực thi một mã PowerShell độc hại nhất định, cuối cùng lây nhiễm vào hệ thống của họ", công ty an ninh mạng Sekoia của Pháp cho biết trong một báo cáo được chia sẻ với The Hacker News.

Các biến thể của chiến dịch ClickFix (hay còn gọi là ClearFake và OneDrive Pastejacking) đã được báo cáo rộng rãi trong những tháng gần đây, với các tác nhân đe dọa sử dụng các mồi nhử khác nhau để chuyển hướng người dùng đến các trang giả mạo nhằm triển khai phần mềm độc hại bằng cách thúc giục khách truy cập trang web chạy mã PowerShell được mã hóa để giải quyết sự cố được cho là liên quan đến việc hiển thị nội dung trong trình duyệt web.

Các trang này được biết đến là ngụy trang thành các dịch vụ trực tuyến phổ biến, bao gồm Facebook, Google Chrome, PDFSimpli và reCAPTCHA, và hiện tại là Google Meet cũng như Zoom tiềm năng -

meet.google.us-join[.]com

meet.googie.com-join[.]us

meet.google.com-join[.]us

meet.google.com-join[.]us

meet.google.web-join[.]com

meet.google.webjoining[.]com

meet.google.cdm-join[.]us

meet.google.us07host[.]com

googiedrivers[.]com

us01web-zoom[.]us

us002webzoom[.]us

web05-zoom[.]us

webroom-zoom[.]us

Trên Windows, chuỗi tấn công lên đến đỉnh điểm khi triển khai StealC và Rhadamanthys stealers, trong khi người dùng Apple macOS được phục vụ tệp hình ảnh đĩa có bẫy ("Launcher_v1.94.dmg") thả một kẻ đánh cắp khác được gọi là Atomic.

Chiến thuật kỹ thuật xã hội mới nổi này đáng chú ý vì nó khéo léo tránh được sự phát hiện của các công cụ bảo mật, vì nó liên quan đến việc người dùng chạy lệnh PowerShell độc hại trực tiếp trên thiết bị đầu cuối, trái ngược với việc được tự động gọi bởi một tải trọng do họ tải xuống và thực thi.

Kaspersky đã tiết lộ rằng các trang web lưu trữ các lần kiểm tra CATCHA giả mạo đang được sử dụng để phát tán Lumma Stealer và Amadey, một kẻ đánh cắp thông tin cũng có thể cung cấp các tải trọng giai đoạn tiếp theo như Remcos RAT, như một phần của chiến dịch ClickFix mới.

"Từ ngày 22 tháng 9 đến ngày 14 tháng 10 năm 2024, [...] hơn 20.000 người dùng đã được chuyển hướng đến các trang web bị nhiễm, tại đó một số người trong số họ đã nhìn thấy thông báo cập nhật giả mạo hoặc CAPTCHA giả mạo", công ty cho biết trong báo cáo được công bố vào ngày 29 tháng 10 năm 2024. "Người dùng ở Brazil, Tây Ban Nha, Ý và Nga thường xuyên bị ảnh hưởng nhất".

Hương – Theo TheHackerNews