Az ál-AnyDesk telepítő és a MetaStealer
A legfrissebb támadások során egy áldozat például egy hamis AnyDesk telepítővel találkozott. Keresés közben rábukkant egy letöltési oldalra, melyet a támadók gondosan úgy alakítottak ki, hogy az eredeti, professzionális szoftvernek tűnjön. Az oldal tulajdonképpen a ClickFix támadás továbbfejlesztett változata volt: először egy hamis Cloudflare Turnstile oldallal próbált megbízhatóságot sugallni, majd a Windows Fájlkezelőhöz, nem pedig egyszerűen a Windows Futtatás ablakához irányította az áldozatot. Az átverés részeként egy PDF-nek álcázott MSI csomagot kellett telepíteni, amely végül a kártékony MetaStealer program telepítéséhez vezetett.
Lényeges, hogy a támadók itt nemcsak a bevált social engineering eszközöket használták, hanem technikailag fejlett módszereket is ötvöztek: több lépésben irányítják az áldozatot, egyre bonyolultabb trükkökkel leplezve valódi szándékukat.
Klasszikus és modern “fix” támadási láncok
A ClickFix támadások már egy éve zajlanak, és jellemzően úgy „tukmálják” a felhasználóra a kártékony parancsokat, hogy egy hamis CAPTCHA oldalon keresztül „problémát” kell megoldania. Ezek a trükkök a Futtatás ablakot vagy a PowerShellt használják a támadó által megadott parancs beillesztéséhez, így indítva el a fertőzési láncot. Az újabb verziók, mint például a FileFix, már a Windows Fájlkezelőjét célozzák, például a címsorba beillesztett, előre vágólapra másolt kóddal, ami PowerShell-parancsot futtat.
Az elmúlt hetek egyik példájánál az áldozatot egy olyan oldalra irányították, amely Cloudflare Turnstile „robotellenőrzési” ablakot jelenített meg, és valódinak tűnt. Itt a felhasználónak igazolnia kellett, hogy „ember”, majd egy gombnyomás után elindult a végzetes letöltési folyamat, amely letöltötte és telepítette a MetaStealer információtolvaj programot.
Ez alapján látható, hogy bár a sémák hasonlóak, minden egyes iteráció egyre ügyesebb, nehezebben felismerhető – a támadók folyamatosan cserélik az eszközöket és módszereket, hogy kijátsszák a védelmi rendszereket és az emberi éberséget.
A MetaStealer trükkös bejuttatása
Az ál-AnyDesk telepítő támadása különösen rafinált példája az új generációs fertőzési láncoknak. Az eredeti letöltési hivatkozás egy olyan oldalra mutat, amely nemcsak vizuálisan meggyőző, de HTML forráskódja is alaposan elmaszkolt, obfuszkált JavaScript kódot tartalmaz, hogy a tapasztalatlan szemek nehezebben ismerjék fel a csalást.
A látogatónak egy „ellenőrző” dobozt kell kipipálnia, majd a folyamat – a klasszikus Futtatás ablak helyett – a Windows Fájlkezelőn keresztül, különleges „search-ms” URI protokollal indított keresési lekérdezéssel halad tovább. Az áldozat végül egy Windows LNK parancsikont lát, amelynek kiterjesztése valójában PDF, de kattintás után azonnal elindítja a háttérben a kártékony folyamatot.
Ha a felhasználó rákattint, először egy látszólag valódi AnyDesk töltődik le, hogy gyanút keltsen, közben azonban egy másik, chat1.store címről származó, megtévesztésig PDF-nek tűnő MSI is letöltődik, amely az áldozat gépnevét is elküldi a támadóknak.
A tényleges fő csomag két kulcsfontosságú fájlt tartalmaz: egy CustomActionDLL-t és egy CAB archívumot további fájlokkal. Az egyik, 1.js, az infektálási lánc eltakarításáért felelős, míg az ls26.exe maga a MetaStealer. Ez utóbbi egy nagy méretű bináris, amelyet speciális védelmi szoftver rejt el – felismerhető viselkedése a kriptotárcákból történő adatlopásban mutatkozik meg.
Tanulságok, védekezési tippek
A ClickFix és a hasonló támadások azért hatékonyak, mert hétköznapi és banális folyamatokhoz kapcsolódnak – legyen szó CAPTCHA-ról vagy megbízhatónak tűnő felhasználói ellenőrzésekről.
Fontos tudni, hogy ezek a támadók tudatosan a felhasználó manuális közreműködésére építenek. Így a legtöbb vírusvédelmi vagy automatizált elhárító rendszer kijátszható, hiszen nem a csomag települ magától, hanem a felhasználó jóváhagyásával.
Ezért kiemelten lényeges, hogy a szervezetek ne csak a klasszikus Futtatás ablak jogosultságait korlátozzák, hanem a felhasználói oktatást is előtérbe helyezzék. Fel kell ismerni azokat a trükköket, amelyek eljutnak a Fájlkezelőig vagy vágólapra másolt parancsokat használnak – illetve az olyan gyanús megerősítési oldalakat, ahol a valódi weboldalak elemeit, például CAPTCHA-t utánozzák.
Figyelendő címek és fájlok
A legfontosabb észlelt támadási címek és elemek közé tartozik többek között a https://anydeesk.ink/download/anydesk.html hamis letöltőoldal, a chat1.store, a csomagban található CustomActionDLL, valamint a MetaStealer dropperfájlok (például az ls26.exe). A támadók által ellenőrzött címek: macawiwmaacckuow.xyz, yeosyyyaewokgioa.xyz, cmqsqomiwwksmcsw.xyz, illetve a hozzájuk tartozó IP-cím: 38.134.148.74.
Összefoglalva: a támadók továbbra sem pihennek, folyamatosan fejlesztik technikáikat, egyre trükkösebb fertőzési láncokat alkalmaznak, és egyre jobban kihasználják a felhasználók hiszékenységét – ezért az egyéni odafigyelés legalább olyan fontos, mint bármely korszerű biztonsági szoftver.
