Nowa kampania ClickFix wykorzystuje złośliwe oprogramowanie MIMICRAT do ataków

Badacze zajmujący się cyberbezpieczeństwem ujawnili szczegóły dotyczące nowej kampanii ClickFix, która nadużywa skompromitowanych, legalnych witryn do dostarczania nieudokumentowanego wcześniej trojana zdalnego dostępu (RAT) o nazwie MIMICRAT (znanego również jako AstarionRAT).

W raporcie opublikowanym w piątek przez Elastic Security Labs podkreślono, że „kampania ta wykazuje wysoki poziom operacyjnej zaawansowanej: skompromitowane witryny z różnych branż i regionów służą jako infrastruktura dostarczająca, a wieloetapowy łańcuch PowerShell wykonuje obejścia ETW i AMSI, zanim załaduje skrypt shellcode w języku Lua. Ostateczny implant komunikuje się przez HTTPS na porcie 443, używając profili HTTP, które przypominają legalny ruch analityki internetowej.”

Zgodnie z informacjami przedstawionymi przez firmę zajmującą się wyszukiwaniem i cyberbezpieczeństwem, MIMICRAT to niestandardowy trojan w języku C++, który obsługuje impersonację tokenów Windows, tunelowanie SOCKS5 oraz zestaw 22 poleceń zapewniających kompleksowe możliwości po eksploracji. Kampania ta została odkryta na początku tego miesiąca.

Badania sugerują, że MIMICRAT jest zbliżony pod względem taktyki i infrastruktury do innej kampanii ClickFix, dokumentowanej przez Huntress, która prowadzi do załadowania programu Matanbuchus 3.0, który z kolei służy jako kanał dla tego samego RAT-u. Ostatecznym celem ataku jest podejrzenie wdrożenia ransomware lub kradzież danych.

Szczegóły infekcji

W sekwencji infekcji podkreślonej przez Elastic, punktem dostępu jest bincheck[.]io – legalna usługa walidacji numeru identyfikacyjnego banku (BIN), która została naruszona w celu wprowadzenia złośliwego kodu JavaScript, odpowiedzialnego za ładowanie zewnętrznego skryptu PHP. Skrypt PHP następnie dostarcza wabik ClickFix, wyświetlając fałszywą stronę weryfikacyjną Cloudflare i instrukcję dla ofiary, aby skopiowała i wkleiła komendę do okna uruchamiania systemu Windows, aby rozwiązać problem.

To prowadzi do wykonania polecenia PowerShell, które łączy się z serwerem dowodzenia i kontroli (C2) w celu pobrania skryptu PowerShell drugiego etapu, który modyfikuje rejestrowanie zdarzeń Windows (ETW) oraz skanowanie antywirusowe (AMSI) przed załadowaniem ładowarki w języku Lua. W finalnym etapie skrypt Lua odszyfrowuje i wykonuje w pamięci shellcode, który uruchamia MIMICRAT.

Możliwości MIMICRAT

Trojan komunikuje się z serwerem C2 korzystając z HTTPS, co pozwala mu akceptować dwadzieścia poleceń do kontroli procesów i systemu plików, interaktywnego dostępu do powłoki, manipulacji tokenami, wstrzykiwania shellcode oraz tunelowania proxy SOCKS.

„Kampania wspiera 17 języków, a treści wabików są dynamicznie lokalizowane w zależności od ustawień językowych przeglądarki ofiary, co zwiększa jej efektywność” – powiedział badacz bezpieczeństwa Salim Bitam. „Zidentyfikowane ofiary pochodzą z różnych regionów, w tym uniwersytet w USA oraz wielu użytkowników mówiących po chińsku, co wskazuje na szerokie, oportunistyczne cele.”