Jedna od najelitnijih hakerskih grupa ruskog vlade usvojila je napad poznat kao Clickfix kako bi kompromitirala uređaje osjetljivih organizacija u Ukrajini, upozorava CERT centra te zemlje. Clickfix se pokazao kao učinkovita tehnika napada koju su zločinci, prvenstveno motivirani financijskim dobitkom, počeli koristiti u posljednjih godinu dana. Web stranice pod kontrolom napadača prikazuju CAPTCHA koja zahtijeva od posjetitelja da kopira niz nasumičnih znakova i zalijepi ga u terminal. Taj tekst sadrži skripte koje, kada se unesu, izvršavaju zloćudne radnje, obično instalirajući zlonamjerni softver ili iznoseći osjetljive podatke. Ukrajinski CERT je u srijedu izjavio da sada ovu tehniku koristi Sandworm, napredna hakerska jedinica unutar GRU-a, ruske vojne obavještajne agencije.
Napadi Clickfix započeli su u proljeće i nastavili su se tijekom ljeta. Ova kampanja rezultirala je kompromitacijom mreže najmanje jedne organizacije kada je otkriveno da je povezani uređaj zaražen FreakyPollom, imenom jednog od prilagođenih zlonamjernih paketa Sandworma. Ukrajinske vlasti otkrile su 10 kompromitiranih web stranica koje su prikazivale PowerShell naredbu kao dio lažne CAPTCHA-e koja je tvrdila da se mora proći kako bi se osiguralo da je stvarna osoba iza tipkovnice posjećivanog uređaja.
Jednom kada korisnik unese skriptu, ona može instalirati zlonamjerne Visual Basic skripte i druge zlonamjerne alate koji potom instaliraju razne Sandworm zloćudne programe. Obično je prvi zloćudni softver koji se pokreće program za izviđanje koji prikuplja informacije sa zaraženog uređaja. Uređaji koji se smatraju važnima potom bi primili dodatni zloćudni softver koji bi otvorio stražnja vrata sustavu.
Naredba, kao primjer, mogla bi biti namijenjena učitavanju i spremanju VBS datoteke u Startup direktorij,” navodi se u prevedenoj verziji savjeta objavljenog u utorak. “Jedna od varijanti takvog programa zvala se GHETTOVIBE. U sljedećoj fazi, kako bi se odredila važnost objekta kibernetičkog napada, SCOUTCURL softverski alat može se učitati na napadnuto računalo, što je PowerShell skripta koja provodi osnovno izviđanje prikupljanjem i iznošenjem informacija o računalu: osnovne karakteristike, programi, datoteke, podaci preglednika, itd.”



