Istraživači za sajber bezbjednost iz francuske kompanije Sekoia upozorili su na značajan porast sajber napada koji cilja korisnike popularne platforme za video konferencije, Google Meet. Napadači koriste poznatu tehniku poznatu kao „ClickFix“ , koja je prvi put identifikovana od strane sajber bezbjednosne firme Proofpoint u maju 2024. godine. Ova zla taktika uključuje imitaciju legitimnog softvera i usluga—kao što su Google Chrome, Facebook i Google Meet—da bi prevarili nesuspectivne korisnike da preuzmu malware.
Razumijevanje ClickFix taktike
Strategiju ClickFix prvi su koristili sajber kriminalci iz grupe TA571, koja je ciljala žrtve lažnim porukama o grešci za široko korišćene aplikacije poput Google Chrome, Microsoft Word i OneDrive. Kada su korisnici kliknuli na ove obmanjujuće poruke, nesvjesno su inficirali svoje sisteme različitim vrstama malware, uključujući DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig i Lumma Stealer.
Nedavni razvoj ClickFix napada
Prema istraživačima iz Sekoia, napadači su nedavno počeli slati e-mailove koji se čine kao legitimne Google Meet pozivnice za poslovne sastanke ili važne događaje. Linkovi unutar ovih e-mailova izgledaju vrlo slično pravim Google Meet URL-ovima, ali preusmjeravaju žrtve na lažne stranice. Kada posjete te stranice, korisnici se susreću sa iskačućim porukama koje ih obaveštavaju o tehničkom problemu. Ove lažne poruke o grešci imituju legitimne Google Meet alerte, podstičući korisnike da kliknu na dugme „Popravi“ ili preduzmu slične radnje. Nažalost, to dovodi do izvršavanja koda koji instalira malware za krađu podataka na njihovim Windows ili macOS uređajima.
Za Windows korisnike, lažna poruka o grešci navodi probleme sa mikrofonom ili slušalicama, podstičući ih da kopiraju skriptu koja preuzima Stealc i Rhadamanthys malware. U međuvremenu, macOS korisnici su prevareni da preuzmu AMOS Stealer malware.
Kriminalna saradnja iza ClickFix napada
Istraživanje Sekoia otkrilo je da su dvije sajber kriminalne grupe— „Slavic Nation Empire“ (povezana sa timom Marco Polo za prevaru u kriptovalutama) i „Scamquerteo Team“ (podgrupa grupe za prevare u kriptovalutama CryptoLove) — vjerovatno odgovorne za ovaj ClickFix operaciju. Obje grupe koriste isti ClickFix šablon za Google Meet, što sugeriše da dijele istu infrastrukturu i vjerovatno imaju treću stranu koja upravlja svojim resursima ili registruje njihove domene.
Tipovi malware-a koji se distribuiraju
Malware koji se distribuira kroz ove napade uključuje softver za krađu informacija, botnete i alate za daljinski pristup, koji svi predstavljaju značajne rizike. Mogu ukrasti osjetljive informacije, kompromitovati sisteme i olakšati daljnje napade.
Osim što cilja Google Meet, Sekoia je identifikovala razne druge klastere za distribuciju malware-a, uključujući platforme kao što su Zoom, PDF čitači, lažne video igre (kao što su Lunacy, Calipso, Battleforge i Ragon), Web3 pretraživače i projekte (poput NGT Studio), i aplikacije za razmjenu poruka (poput Nortex).
Opasnost ClickFix taktika
Taktika ClickFix je posebno opasna jer zaobilazi tradicionalne zaštitne mjere, ne zahtjevajući od korisnika da direktno preuzmu datoteke. U julu je McAfee upozorio da su ClickFix kampanje postale sve prisutnije, posebno u Sjedinjenim Američkim Državama i Japanu.
Kako se zaštititi od ClickFix napada
Da biste se zaštitili od ClickFix napada, korisnici bi trebali preduzeti sljedeće mjere:
- Budite oprezni prema neočekivanim porukama o grešci: Uvek provjerite poruke koje podstiču akciju, posebno od nepoznatih izvora.
- Provjerite skripte prije kopiranja: Nikada ne kopirajte skripte sa nepoznatih web stranica bez verifikacije.
- Koristite pouzdani antivirusni softver: Osigurajte da imate ažuriranu antivirusnu zaštitu na svojim uređajima.
- Budite oprezni sa linkovima: Prije nego što kliknete, pređite mišem preko linkova da provjerite njihovu validnost.
- Omogućite dvofaktorsku autentifikaciju: Ovo dodaje dodatni sloj zaštite vašim online računima.
Ostajući informisani i oprezni, korisnici mogu bolje zaštititi sebe od rastuće pretnje sajber napada koji koriste ClickFix taktiku. Održavanje budnosti i primjena jakih bezbjednosnih mjera pomoći će osigurati sigurnije online iskustvo, posebno za korisnike platformi poput Google Meet.