Az átverés menete: rejtett parancs a vágólapon
A támadás során egy weboldal arra kéri a felhasználót, hogy másoljon be egy – első pillantásra ártalmatlan – hálózati útvonalat a Windows Fájlkezelő címsorába. Ez az útvonal azonban megtévesztő: valójában 139 szóközzel van kitöltve, így egy PowerShell-parancs rejtve marad a végén. Míg a felhasználó csak a szimpla útvonalat látja, az Enter lenyomása után a rejtett PowerShell-kód is lefut, fej nélküli üzemmódban, vagyis semmi sem utal arra, hogy bármi történne.
Gyorsítótár-csempészet: ZIP-archívum a böngészőből
A PowerShell-szkript először létrehozza a FortiClient compliance mappáját, majd a Chrome böngésző gyorsítótárából átmásol egy állítólagos képfájlt. Fontos megjegyezni, hogy ebben a képben valójában egy ZIP-archívum található. A szkript ezt kicsomagolja, majd elindítja a FortiClientComplianceChecker.exe-t, ami elindítja a káros folyamatokat.
A csalás kulcsa: a weboldal JavaScript segítségével egy hamis képet tölt le a felhasználó böngészőjébe, amit a rendszer képfájlként cache-el. Mire a PowerShell-parancs lefut, a ZIP-archívum már ott rejtőzik a gépen – és sehol nincs klasszikus letöltés, amit egy biztonsági szoftver elcsíphetne.
Így kerüli el a biztonsági szoftvereket
A módszer sikeressége abban rejlik, hogy sem a weboldal, sem a PowerShell-szkript nem tölt le közvetlenül fájlokat. A böngésző gyorsítótárába rejtett „kép” révén a ZIP-archívum a védelmi rendszerek figyelme elől rejtve marad. Mindezt figyelembe véve a hagyományos víruskeresők, amelyek a letöltéseket vagy a gyanús PowerShell-forgalmat figyelik, teljesen védtelenek az ilyen támadásokkal szemben.
Automatizált átverő oldalak: a ClickFix Generator
Érdemes megemlíteni a ClickFix Generator nevű új eszközt, amely lehetővé teszi a támadók számára, hogy gombnyomásra készítsenek álcázott ellenőrző oldalakat. Ezek szinte mindig hamis Cloudflare CAPTCHA-t jelenítenek meg, és arra veszik rá a felhasználót, hogy parancsot futtasson a Windows vagy Mac felületén. Az ismert támadások célja kémprogramok – például SzarvasTolvaj (DeerStealer) és Odüsszeia (Odyssey) – telepítése volt, de ismeretlen káros szoftvereket is alkalmaztak.
Tudatosság: az első számú védelem
Nem lehet elégszer hangsúlyozni: a legfontosabb biztonsági intézkedés, hogy soha ne másolj be ismeretlen parancsot vagy szöveget sem a Futtatás, sem a Parancssor, sem a Terminál mezőbe weboldalakon található szövegből – még akkor sem, ha hivatalos szolgáltatóra hivatkoznak.
