روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گروه باج‌افزاری Interlock به‌تازگی استفاده از تکنیک ClickFix را برای دسترسی به زیرساخت قربانیان خود آغاز کرده است. پیشتر در مقاله‌ای شرح دادیم تکنیک کلیک‌فیکس چیست و چرا خطر دارد؛ اما امروز خاصه به بررسی یک مورد خاص خواهیم پرداخت که در آن یک گروه باج‌افزاری این تاکتیک را به‌صورت عملی به کار گرفته است. بر اساس گزارش پژوهشگران حوزه امنیت سایبری، گروه Interlock از یک CAPTCHA جعلی استفاده می‌کند که ظاهر آن شبیه به CAPTCHA واقعی ارائه‌شده توسط سرویس Cloudflare است. این CAPTCHA در صفحه‌ای قرار دارد که به‌طور جعلی خود را به‌عنوان وب‌سایت ابزار رایگان Advanced IP Scanner معرفی می‌کند؛ ابزاری پرکاربرد برای اسکن شبکه که در میان متخصصان فناوری اطلاعات شناخته‌شده است. این موضوع نشان می‌دهد که هدف این حمله، متخصصان IT در سازمان‌هایی است که برای این گروه دارای ارزش بالقوه هستند.

نحوه استفاده Interlock از ClickFix برای انتشار بدافزار

حمله‌کنندگان Interlock قربانیان را به صفحه‌ای هدایت می‌کنند که نشانی اینترنتی آن مشابه آدرس رسمی وب‌سایت Advanced IP Scanner است. پژوهشگران امنیتی چندین نسخه از این صفحه جعلی را که در آدرس‌های مختلفی میزبانی شده‌اند، شناسایی کرده‌اند. پس از کلیک کاربر روی لینک، پیامی نمایش داده می‌شود که از وی می‌خواهد یک CAPTCHA را تکمیل کند. این CAPTCHA ظاهراً توسط Cloudflare ارائه شده و پیامی را نمایش می‌دهد که ادعا می‌کند Cloudflare به شرکت‌ها کمک می‌کند تا "کنترل فناوری خود را بازپس گیرند". این متن بازاریابی که بسیار معتبر به نظر می‌رسد، در واقع از صفحه رسمی Cloudflare با عنوان «Cloudflare چیست؟» کپی شده است. پس از آن، دستورالعملی نمایش داده می‌شود که از کاربر می‌خواهد کلیدهای Win + R، سپس Ctrl + V، و در نهایت Enter را فشار دهد. در ادامه دو دکمه با عناوین "Fix it" و "Retry" نمایش داده می‌شود.

در مرحله بعد، پیامی نمایش داده می‌شود مبنی بر اینکه برای دسترسی به منبع مورد نظر، لازم است امنیت اتصال تأیید شود. در واقع، هنگامی که کاربر روی دکمه "Fix it" کلیک می‌کند، یک دستور مخرب پاورشل به کلیپ‌بورد سیستم کپی می‌شود. کاربر سپس بدون آگاهی، با فشردن کلیدهای Win + R محیط اجرای فرمان را باز کرده و با Ctrl + V دستور را جای‌گذاری کرده و با Enter آن را اجرا می‌کند. با اجرای این دستور، یک فایل نصب‌کننده جعلی PyInstaller با حجم ۳۶ مگابایت دانلود و اجرا می‌شود. هم‌زمان برای منحرف کردن توجه کاربر، پنجره‌ای از مرورگر با وب‌سایت واقعی Advanced IP Scanner باز می‌شود.

از جمع‌آوری داده تا باج‌خواهی: مراحل یک حمله توسط  Interlock

پس از اجرای نصب‌کننده جعلی، یک اسکریپت پاورشل فعال می‌شود که اطلاعات سیستم را جمع‌آوری کرده و به یک سرور فرمان و کنترل (C2) ارسال می‌کند. در پاسخ، سرور می‌تواند دستور ooffرا برای خاتمه اجرای اسکریپت ارسال کند یا بدافزارهای اضافی را منتقل نماید. در این نمونه، مهاجمان از بدافزار Interlock RAT (اسب تروای دسترسی از راه دور) به‌عنوان محموله استفاده کرده‌اند. این بدافزار در پوشه %AppData% ذخیره شده و به‌طور خودکار اجرا می‌شود، که به مهاجمان امکان دسترسی به داده‌های محرمانه و ایجاد پایداری در سیستم را می‌دهد.

پس از دسترسی اولیه، گردانندگان Interlock تلاش می‌کنند با استفاده از اطلاعات کاربری سرقت‌شده یا افشاشده قبلی و پروتکل دسکتاپ ریموت (RDP) در شبکه حرکت جانبی انجام دهند. هدف اصلی آن‌ها کنترل‌کننده دامنه است؛ زیرا دسترسی به آن به مهاجمان اجازه می‌دهد تا بدافزار را در سراسر زیرساخت سازمان منتشر کنند. مرحله نهایی پیش از اجرای باج‌افزار، سرقت داده‌های ارزشمند سازمان قربانی است. این فایل‌ها در فضای ذخیره‌سازی Azure Blob  که تحت کنترل مهاجمان است بارگذاری می‌شوند. پس از استخراج داده‌های حساس، گروه Interlock آن‌ها را در یک دامنه جدید روی شبکه Tor منتشر می‌کند. سپس لینک مربوط به این دامنه در پستی جدید روی سایت .onion این گروه قرار می‌گیرد.

چگونه در برابر حملات ClickFix محافظت کنیم؟

تکنیک ClickFix و سایر روش‌های مشابه به‌شدت بر مهندسی اجتماعی متکی هستند؛ بنابراین، مؤثرترین راه محافظت در برابر آن‌ها، اتخاذ رویکردی نظام‌مند با تمرکز بر افزایش آگاهی کارکنان است. در همین راستا، ما پلت‌فرم آموزش خودکار امنیت سایبری کسپرسکی[1]  را توصیه می‌کنیم که برنامه‌های آموزشی را به‌صورت خودکار برای کارکنان اجرا می‌کند.

علاوه بر این، برای محافظت در برابر حملات باج‌افزاری، اقدامات زیر توصیه می‌شود:

• نصب راهکارهای امنیتی معتبر بر روی تمامی دستگاه‌های سازمانی
• نظارت بر فعالیت‌های مشکوک در شبکه سازمان با استفاده از راهکارهای سطح XDR  (تشخیص و پاسخ گسترده)
• در صورت نبود منابع یا تخصص کافی در تیم امنیت داخلی، بهره‌گیری از خدمات بیرونی برای شناسایی تهدیدات و پاسخ‌دهی به آن‌ها

[1] Kaspersky Automated Security Awareness Platform

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.