Proofpoint waarschuwt voor ClickFix: een aanvalsmethode die gebruik maakt van onschuldig ogende PowerShell-commando’s waar malware achter schuilt.
In een blog waarschuwt beveiligingsbedrijf Proofpoint voor een opmars van ClickFix. Proofpoint spreekt van een unieke social engineering-techniek waarbij slachtoffers om de tuin worden geleid met valse PowerShell-commando’s. Aanvallers sporen het slachtoffer aan om een script uit te voeren dat malware installeert en zo klassieke beveiligingsmethoden omzeilt.
Foutmelding
Een typische ClickFix-aanval begint met een foutmelding voor veelgebruikte software, zoals Microsoft Word of Google Chrome. Het dialoogvenster bevat een knop waar het slachtoffer op moet klikken om het probleem op te lossen.
Vervolgens verschijnt een PowerShell-commando dat ofwel automatisch wordt geknipt en geplakt in de applicatie ofwel het slachtoffer aanspoort dat handmatig te doen. Het nietsvermoedende slachtoffer installeert zo zelf malware op het eigen apparaat.
Proofpoint ziet sinds september een opmars in het gebruik van de ClickFix-techniek. Zowel populaire software als bedrijfsspecifieke toepassingen worden daarbij misbruikt. In de meeste gevallen wordt ClickFix ingezet door cybercriminelen die uitzijn op losgeld, maar Proofpoint vermoedt dat ook overheidsinstanties in Oekraïne al het doelwit waren. Clickfix-campagnes verspreiden diverse soorten malware.
Menselijk gedrag
De opkomst van ClickFix illustreert de verschuiving naar het manipuleren van menselijk gedrag nu traditionele aanvalsvectoren minder succesvol worden. Deze methode omzeilt beveiligingsmechanismen omdat het slachtoffer de malware zelf installeert. Proofpoint raadt bedrijven om hun werknemers te trainen in het herkennen en vermijden van social engineeringtechnieken zoals ClickFix.
lees ook