🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
ClickFix, FileFix, CAPTCHA falso – como quer que você os chame, ataques em que os usuários interagem com scripts maliciosos em seus navegadores são uma fonte crescente de violações de segurança.
Os ataques ClickFix solicitam que o usuário resolva algum tipo de problema ou desafio no navegador – mais comumente um CAPTCHA, mas também coisas como corrigir um erro em uma página da web.
O nome é um pouco enganador – o principal fator no ataque é que eles enganam os usuários para que executem comandos maliciosos em seus dispositivos, copiando o código malicioso da área de transferência da página e executando-o localmente.
Exemplos de iscas ClickFix usadas por invasores em liberdade.
O ClickFix é conhecido por ser usado regularmente pelo grupo de ransomware Interlock e outros atores de ameaças prolíficos, incluindo APTs patrocinados pelo estado. Uma série de violações recentes de dados públicos foram vinculadas a TTPs do tipo ClickFix, como Kettering Health, DaVita, City of St. Paul, Minnesota, e os Centros de Ciências da Saúde da Texas Tech University (com muitas outras violações provavelmente envolvendo ClickFix onde o vetor de ataque não era conhecido ou divulgado).
Mas por que esses ataques estão se mostrando tão eficazes?
Razão 1: os usuários não estão prontos para ClickFix
Durante a última década ou mais, a conscientização dos usuários se concentrou em impedir que os usuários clicassem em links em e-mails suspeitos, baixassem arquivos arriscados e digitassem seu nome de usuário e senha em sites aleatórios. Não se concentrou em abrir um programa e executar um comando.
A suspeita é ainda mais reduzida quando você considera que a ação maliciosa de cópia da área de transferência é executada nos bastidores via JavaScript 99% das vezes.
Exemplo de código JavaScript não ofuscado executando a função de cópia automaticamente em uma página ClickFix sem intervenção do usuário.
E com os sites e iscas ClickFix modernos se tornando cada vez mais legítimos (veja o exemplo abaixo), não é surpreendente que os usuários estejam sendo vítimas.
Uma das iscas ClickFix de aparência mais legítima – esta ainda tem um vídeo incorporado mostrando ao usuário o que fazer!
Quando você considera o fato de que esses ataques estão se afastando completamente do e-mail, isso não se enquadra no modelo do que os usuários são treinados para suspeitar.
O principal vetor de entrega identificado pelos pesquisadores da Push Security foi o envenenamento e malvertising de SEO por meio da Pesquisa Google. Ao criar novos domínios ou assumir o controle de domínios legítimos, os invasores estão criando cenários de watering hole para interceptar usuários que navegam na Internet.
E mesmo que você suspeite, não há um botão ou fluxo de trabalho conveniente para "denunciar phishing" para notificar sua equipe de segurança sobre os resultados da Pesquisa Google, mensagens de mídia social, anúncios de sites e assim por diante.
Razão 2: ClickFix não está sendo detectado durante a entrega
Existem alguns aspectos que explicam por que os ataques ClickFix não são detectados pelos controles técnicos.
As páginas ClickFix, como outros sites de phishing modernos, estão usando uma variedade de técnicas de evasão de detecção que evitam que sejam sinalizadas por ferramentas de segurança – desde scanners de e-mail a ferramentas de segurança de rastreamento da web, até proxies da web que analisam o tráfego de rede. A evasão de detecção envolve principalmente camuflagem e rotação de domínios para ficar à frente de detecções conhecidas como ruins (ou seja, listas de bloqueio), usando proteção de bot para evitar análises e ofuscando fortemente o conteúdo da página para impedir o disparo de assinaturas de detecção.
E ao usar vetores de entrega que não sejam de e-mail, toda uma camada de oportunidade de detecção é eliminada.
Como outros ataques de phishing modernos, as iscas ClickFix são distribuídas por toda a Internet – não apenas por e-mail.
A malvertising adiciona outra camada de segmentação ao cenário. Por exemplo, o Google Ads pode ser direcionado para pesquisas provenientes de localizações geográficas específicas, adaptadas a correspondências de domínios de e-mail específicos ou tipos de dispositivos específicos (por exemplo, desktop, celular, etc.). Se você souber onde seu alvo está localizado, poderá personalizar os parâmetros do anúncio de acordo.
Junto com outras técnicas, como o carregamento condicional para retornar uma isca apropriada para o seu sistema operacional (ou não ser acionado a menos que certas condições sejam atendidas, por exemplo, você está visitando de um sistema operacional móvel ou de fora de um intervalo de IP alvo), os invasores têm uma maneira de alcançar um grande número de vítimas em potencial, evitando controles de segurança na camada de e-mail e evitando análises indesejadas.
Exemplo de isca ClickFix construída em um site codificado por vibração.
Finalmente, como o código é copiado dentro da sandbox do navegador, as ferramentas de segurança típicas não conseguem observar e sinalizar essa ação como potencialmente maliciosa. Isso significa que a última – e única – oportunidade para as organizações interromperem o ClickFix está no endpoint, após o usuário tentar executar o código malicioso.
Razão 3: EDR é a última e única linha de defesa – e não é infalível
Existem vários estágios do ataque que podem e devem ser interceptados pelo EDR, mas o nível de detecção aumentou e se uma ação foi bloqueada
Os ataques ClickFix solicitam que o usuário resolva algum tipo de problema ou desafio no navegador – mais comumente um CAPTCHA, mas também coisas como corrigir um erro em uma página da web.
O nome é um pouco enganador – o principal fator no ataque é que eles enganam os usuários para que executem comandos maliciosos em seus dispositivos, copiando o código malicioso da área de transferência da página e executando-o localmente.
Exemplos de iscas ClickFix usadas por invasores em liberdade.
O ClickFix é conhecido por ser usado regularmente pelo grupo de ransomware Interlock e outros atores de ameaças prolíficos, incluindo APTs patrocinados pelo estado. Uma série de violações recentes de dados públicos foram vinculadas a TTPs do tipo ClickFix, como Kettering Health, DaVita, City of St. Paul, Minnesota, e os Centros de Ciências da Saúde da Texas Tech University (com muitas outras violações provavelmente envolvendo ClickFix onde o vetor de ataque não era conhecido ou divulgado).
Mas por que esses ataques estão se mostrando tão eficazes?
Razão 1: os usuários não estão prontos para ClickFix
Durante a última década ou mais, a conscientização dos usuários se concentrou em impedir que os usuários clicassem em links em e-mails suspeitos, baixassem arquivos arriscados e digitassem seu nome de usuário e senha em sites aleatórios. Não se concentrou em abrir um programa e executar um comando.
A suspeita é ainda mais reduzida quando você considera que a ação maliciosa de cópia da área de transferência é executada nos bastidores via JavaScript 99% das vezes.
Exemplo de código JavaScript não ofuscado executando a função de cópia automaticamente em uma página ClickFix sem intervenção do usuário.
E com os sites e iscas ClickFix modernos se tornando cada vez mais legítimos (veja o exemplo abaixo), não é surpreendente que os usuários estejam sendo vítimas.
Uma das iscas ClickFix de aparência mais legítima – esta ainda tem um vídeo incorporado mostrando ao usuário o que fazer!
Quando você considera o fato de que esses ataques estão se afastando completamente do e-mail, isso não se enquadra no modelo do que os usuários são treinados para suspeitar.
O principal vetor de entrega identificado pelos pesquisadores da Push Security foi o envenenamento e malvertising de SEO por meio da Pesquisa Google. Ao criar novos domínios ou assumir o controle de domínios legítimos, os invasores estão criando cenários de watering hole para interceptar usuários que navegam na Internet.
E mesmo que você suspeite, não há um botão ou fluxo de trabalho conveniente para "denunciar phishing" para notificar sua equipe de segurança sobre os resultados da Pesquisa Google, mensagens de mídia social, anúncios de sites e assim por diante.
Razão 2: ClickFix não está sendo detectado durante a entrega
Existem alguns aspectos que explicam por que os ataques ClickFix não são detectados pelos controles técnicos.
As páginas ClickFix, como outros sites de phishing modernos, estão usando uma variedade de técnicas de evasão de detecção que evitam que sejam sinalizadas por ferramentas de segurança – desde scanners de e-mail a ferramentas de segurança de rastreamento da web, até proxies da web que analisam o tráfego de rede. A evasão de detecção envolve principalmente camuflagem e rotação de domínios para ficar à frente de detecções conhecidas como ruins (ou seja, listas de bloqueio), usando proteção de bot para evitar análises e ofuscando fortemente o conteúdo da página para impedir o disparo de assinaturas de detecção.
E ao usar vetores de entrega que não sejam de e-mail, toda uma camada de oportunidade de detecção é eliminada.
Como outros ataques de phishing modernos, as iscas ClickFix são distribuídas por toda a Internet – não apenas por e-mail.
A malvertising adiciona outra camada de segmentação ao cenário. Por exemplo, o Google Ads pode ser direcionado para pesquisas provenientes de localizações geográficas específicas, adaptadas a correspondências de domínios de e-mail específicos ou tipos de dispositivos específicos (por exemplo, desktop, celular, etc.). Se você souber onde seu alvo está localizado, poderá personalizar os parâmetros do anúncio de acordo.
Junto com outras técnicas, como o carregamento condicional para retornar uma isca apropriada para o seu sistema operacional (ou não ser acionado a menos que certas condições sejam atendidas, por exemplo, você está visitando de um sistema operacional móvel ou de fora de um intervalo de IP alvo), os invasores têm uma maneira de alcançar um grande número de vítimas em potencial, evitando controles de segurança na camada de e-mail e evitando análises indesejadas.
Exemplo de isca ClickFix construída em um site codificado por vibração.
Finalmente, como o código é copiado dentro da sandbox do navegador, as ferramentas de segurança típicas não conseguem observar e sinalizar essa ação como potencialmente maliciosa. Isso significa que a última – e única – oportunidade para as organizações interromperem o ClickFix está no endpoint, após o usuário tentar executar o código malicioso.
Razão 3: EDR é a última e única linha de defesa – e não é infalível
Existem vários estágios do ataque que podem e devem ser interceptados pelo EDR, mas o nível de detecção aumentou e se uma ação foi bloqueada
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #analisando #clickfix: #3 #razões #pelas #quais #ataques #de #copiar/colar #estão #gerando #violações #de #segurança
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário