DNSC: Grupul APT Lazarus distribuie malware prin exploatarea tehnicii ClickFix

Grupul APT Lazarus, cunoscut pentru campanii cibernetice complexe ce vizează atât organizaţii guvernamentale, cât şi companii din domeniul tehnologiei, exploatează acum tehnica ClickFix cu scopul distribuirii de malware, atenţionează Directoratul Naţional pentru Securitate Cibernetică, potrivit Agerpres.

'Grupul APT Lazarus, asociat Coreei de Nord, este cunoscut pentru campanii cibernetice complexe ce vizează atât organizaţii guvernamentale, cât şi companii din domeniul tehnologiei. În ultima perioadă, Lazarus a adoptat o nouă metodă de inginerie socială denumită ClickFix, care combină elemente de phishing şi execuţie de comenzi rău intenţionate pentru a compromite ţintele selectate. Atacul se bazează pe tehnici de inginerie socială prin website-uri false, oferte de angajare disimulate sau actualizări software fictive, iar exploatarea este posibilă prin interacţiunea directă a victimei, care rulează comenzile periculoase copiate în clipboard', susţin experţii în securitate cibernetică.

Potrivit sursei citate, ClickFix este o tehnică de inginerie socială care păcăleşte utilizatorii să execute comenzi PowerShell periculoase. Astfel, utilizatorul este atras către o pagină web sau un scenariu aparent legitim (interviu de angajare, test tehnic, actualizare de software), în timp ce paginile afişează instrucţiuni care copiază automat comenzi periculoase în clipboard. Ulterior, victima este îndemnată să ruleze aceste comenzi în terminal, sub pretextul rezolvării unei probleme tehnice urgente, iar odată executate, comenzile pot descărca şi instala malware, deschide sesiuni de comunicare cu servere de comandă şi control, precum şi exfiltra date sensibile.

'Scorul de severitate este ridicat, deoarece tehnica exploatează încrederea utilizatorului, poate ocoli filtrele tradiţionale de securitate şi poate conduce rapid la compromiterea completă a sistemului, ceea ce duce la acces neautorizat, exfiltrarea credenţialelor şi a datelor sensibile, instalarea de backdoor-uri persistente şi facilitarea atacurilor ulterioare, precum mişcarea laterală sau ransomware', atrage atenţia DNSC, într-o postare publicată, miercuri, pe pagina oficială de Facebook a instituţiei.

În acest context, specialiştii vin cu o serie de recomandări: instruirea utilizatorilor să nu ruleze, în terminal, comenzi primite din surse externe neautorizate; restricţionarea PowerShell prin limitarea execuţiei la scripturi semnate digital, sau chiar reducerea ariei de execuţie doar la utilizatorii cu rol de administrator; blocarea domeniilor şi adreselor IP periculoase prin folosirea listelor cu indicatorii de compromitere disponibile public; politici privind reducerea drepturilor utilizatorilor pentru a limita impactul unei compromiteri; implementarea autentificării multi-factor (MFA) pentru accesul la resurse critice; actualizarea regulată a sistemelor şi aplicaţiilor pentru a elimina vulnerabilităţile cunoscute.

DNSC menţionează că tehnica ClickFix folosită de Grupul APT Lazarus reprezintă o ameninţare serioasă, ce ocoleşte măsurile obişnuite de protecţie şi poate conduce la acces neautorizat, furt de informaţii şi instalarea unor programe periculoase.