A ClickFix új támadása: kártevő érkezik a DNS-en át

A hackerek egyre kreatívabb módszereket vetnek be: a legújabb ClickFix-támadás például a DNS-lekérdezéseket használja ki, hogy kártékony PowerShell-szkripteket juttasson el a gyanútlan áldozatok gépére. Ez az első ismert eset, amikor a DNS válik a támadás fő csatornájává a ClickFix-trükközések során. A klasszikus forgatókönyv helyett ez a variáns arra veszi rá a felhasználót, hogy manuálisan futtasson egy parancsot, amely nem a megszokott, hanem egy támadó által irányított DNS-szerverhez csatlakozik.

Kártékony PowerShell érkezik, Python indul

A Microsoft által megfigyelt kampány során az áldozatokat arra kérik, hogy a Windows Futtatás ablakába írjanak be egy nslookup parancsot. Ez a parancs az „example.com” hosztnévhez intéz lekérdezést egy támadói DNS-szerverhez (84.21.189.20), ahol a válasz valójában egy PowerShell-szkriptbe van ágyazva. A szkriptet ezután közvetlenül végrehajtja a rendszer – ekkor a támadók további kártevőt töltenek le. A végeredmény egy ZIP-archívum, amely tartalmaz egy Python-futtatókörnyezetet és kártékony szkriptet. Ezek információt gyűjtenek a fertőzött rendszerről és a tartományról, és tartós jelenlétet (perzisztenciát) is létrehoznak — a szkript automatikus indítását biztosítják minden rendszerindításkor egy MonitoringService.lnk nevű parancsikon segítségével.

Végső csapás: a ModeloRAT

A fertőzés utolsó lépcsője a ModeloRAT nevű távoli hozzáférésű trójai, amellyel a támadók teljesen átvehetik az irányítást a kompromittált gép felett. A módszer különlegessége, hogy a hagyományos ClickFix-támadások HTTP-t használnak, most azonban a DNS-protokoll válik a kommunikáció és a káros programok terjesztésének eszközévé. Ez lehetővé teszi, hogy a támadók akár menet közben is módosítsák a kódot, anélkül hogy feltűnnének a hálózati forgalomban.

Az evolúció megállíthatatlan

A ClickFix-módszerek az elmúlt évben szinte futótűzként terjedtek, folyamatosan változó trükkökkel. Korábban elég volt meggyőzni áldozatokat, hogy gépeljenek be egy-egy parancsot, most azonban már a webes kártevő-terjesztésen is túlmutató technikák jelennek meg. Nemrég például az Azure CLI OAuth-hitelesítési mechanizmusát is sikerült kijátszani, így jelszó és kétfaktoros hitelesítés nélkül törtek fel Microsoft-fiókokat. Az MI-nyelvi modellek térhódításával egyre több hamis útmutató és csalás jelenik meg, sőt, már böngészőn keresztül futó JavaScript-kóddal is támadnak, például kriptovalutát kezelő oldalak felhasználóit célozva. A tendencia világos: a ClickFix-támadások gyorsan alkalmazkodnak, és folyamatosan keresik az új célpontokat és gyenge pontokat.

2025, adrienne, www.bleepingcomputer.com alapján