Beberapa kelompok peretasan yang disponsori negara dari Iran, Korea Utara, dan Rusia telah ditemukan memanfaatkan taktik rekayasa sosial clickfix yang semakin populer untuk menggunakan malware selama periode tiga bulan dari akhir 2024 hingga awal 2025.
Kampanye phishing yang mengadopsi strategi telah dikaitkan dengan kelompok yang dilacak sebagai TA427 (alias Kimsuky), TA450 (alias Muddywater, UNK_Remoterogue, dan TA422 (alias APT28).
ClickFix telah menjadi teknik akses awal yang terutama berafiliasi dengan kelompok kejahatan dunia maya, meskipun efektivitas pendekatan ini telah menyebabkannya juga diadopsi oleh kelompok-kelompok negara-bangsa.
“Penggabungan ClickFix tidak merevolusi kampanye yang dilakukan oleh TA427, TA450, UNK_REMOTEROGUGE, dan TA422 tetapi malah mengganti tahapan instalasi dan eksekusi dalam rantai infeksi yang ada,” kata perusahaan keamanan perusahaan Proofpoint dalam sebuah laporan yang diterbitkan hari ini.
Singkatnya, ClickFix mengacu pada teknik licik yang mendesak pengguna untuk menginfeksi mesin mereka sendiri dengan mengikuti serangkaian instruksi untuk menyalin, menempelkan, dan menjalankan perintah jahat dengan dalih memperbaiki masalah, menyelesaikan verifikasi captcha, atau mendaftarkan perangkat mereka.
Proofpoint mengatakan pertama kali mendeteksi Kimsuky menggunakan ClickFix pada bulan Januari dan Februari 2025 sebagai bagian dari kampanye phishing yang menargetkan individu dalam kurang dari lima organisasi di sektor think tank.
“TA427 melakukan kontak awal dengan target melalui permintaan rapat dari pengirim palsu yang dikirim ke target TA427 tradisional yang bekerja pada urusan Korea Utara,” kata tim peneliti Proofpoint.
“Setelah percakapan singkat untuk melibatkan target dan membangun kepercayaan, seperti yang sering terlihat dalam kegiatan TA427, para penyerang mengarahkan target ke situs yang dikendalikan oleh penyerang di mana mereka meyakinkan target untuk menjalankan perintah PowerShell.”
Rantai serangan, perusahaan itu menjelaskan, memprakarsai urutan multi-tahap yang memuncak dalam penyebaran akses jarak jauh open-source Trojan bernama Quasar Rat.
Pesan email yang dimaksudkan untuk berasal dari diplomat Jepang dan meminta penerima untuk mengatur pertemuan dengan Duta Besar Jepang ke Amerika Serikat. Selama percakapan, para aktor ancaman mengirim PDF berbahaya yang berisi tautan ke dokumen lain dengan daftar pertanyaan yang akan dibahas selama pertemuan.
Mengklik tautan mengarahkan korban ke halaman arahan palsu yang meniru situs web kedutaan Jepang, yang kemudian mendorong mereka untuk mendaftarkan perangkat mereka dengan menyalin dan menempelkan perintah ke dialog Windows Run untuk mengunduh kuesioner.
“Perintah ClickFix PowerShell mengambil dan mengeksekusi perintah PowerShell yang di -host dari jarak jauh, yang menampilkan umpan PDF yang dirujuk sebelumnya dalam rantai (kuesioner.pdf) kepada pengguna,” kata Proofpoint. “Dokumen itu mengklaim berasal dari Kementerian Luar Negeri di Jepang dan berisi pertanyaan tentang proliferasi dan kebijakan nuklir di Asia Timur Laut.”
Skrip PowerShell kedua dikonfigurasi untuk membuat skrip visual dasar yang berjalan setiap 19 menit dengan menggunakan tugas yang dijadwalkan, yang, pada gilirannya, mengunduh dua skrip batch yang membuat, memecahkan kode, dan menjalankan muatan tikus quasar. Perlu menunjukkan bahwa variasi rantai serangan ini sebelumnya didokumentasikan oleh Microsoft pada Februari 2025.
Kelompok negara-negara kedua yang mengaitkan ke ClickFix adalah kelompok Muddywater yang terkait dengan Iran yang telah memanfaatkan teknik ini untuk melegitimasi perangkat lunak pemantauan dan manajemen jarak jauh (RMM) seperti tingkat untuk mempertahankan akses yang terus-menerus.
Email phishing, yang dikirim pada 13 dan 14 November 2024, bertepatan dengan pembaruan Patch Selasa Microsoft, menyamar sebagai pembaruan keamanan dari raksasa teknologi, meminta penerima pesan untuk mengikuti instruksi gaya clickFix untuk mengatasi kerentanan yang seharusnya.
“Para penyerang mengerahkan teknik clickFix dengan membujuk target untuk pertama kali menjalankan PowerShell dengan hak istimewa administrator, kemudian menyalin dan menjalankan perintah yang terkandung dalam badan email,” kata Proofpoint.
“Perintah tersebut bertanggung jawab untuk menginstal perangkat lunak manajemen jarak jauh dan pemantauan (RMM) – dalam hal ini, level – setelah itu operator TA450 akan menyalahgunakan alat RMM untuk melakukan data spionase dan mengekspi dari mesin target.”
Kampanye Ta450 ClickFix dikatakan menargetkan sektor keuangan, pemerintah, kesehatan, pendidikan, dan transportasi di seluruh Timur Tengah, dengan penekanan pada Uni Emirat Arab (UEA) dan Arab Saudi, serta yang berlokasi di Kanada, Jerman, Swiss, dan Amerika Serikat.
Juga mengamati boarding The ClickFix Backwagon adalah dugaan kelompok Rusia yang dilacak sebagai UNK_REMOTEROGUGE menjelang akhir tahun lalu menggunakan email umpan yang dikirim dari kemungkinan server Zimbra yang dikompromikan yang menyertakan tautan ke dokumen Microsoft Office.
Mengunjungi tautan yang ditampilkan halaman yang berisi instruksi untuk menyalin kode dari browser ke terminal mereka, bersama dengan tutorial video YouTube tentang cara menjalankan PowerShell. Perintah PowerShell dilengkapi dengan kemampuan untuk menjalankan JavaScript yang dieksekusi kode PowerShell yang ditautkan ke kerangka kerangka perintah dan kontrol (C2) Empire.
Proofpoint mengatakan kampanye mengirim 10 pesan kepada individu dalam dua organisasi yang terkait dengan produsen senjata utama di industri pertahanan. UNK_Remoterogue juga telah ditemukan untuk berbagi infrastruktur yang tumpang tindih dengan kampanye phishing lain yang menargetkan entitas pertahanan dan kedirgantaraan dengan tautan ke konflik yang sedang berlangsung di Ukraina untuk memanen kredensial webmail melalui halaman login palsu.
“Beberapa contoh aktor yang disponsori negara menggunakan ClickFix telah menunjukkan tidak hanya popularitas teknik di kalangan aktor negara, tetapi juga penggunaannya oleh berbagai negara dalam beberapa minggu satu sama lain,” kata perusahaan itu. “Meskipun bukan teknik yang digunakan secara terus -menerus, ada kemungkinan bahwa lebih banyak aktor ancaman dari Korea Utara, Iran, dan Rusia juga telah mencoba dan menguji clickfix atau mungkin dalam waktu dekat.”
