One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8535867 |
| Date de publication | 2024-07-12 17:30:23 (vue: 2024-07-12 18:08:01) |
| Titre | ClickFix Deception: A Social Engineering Tactic to Deploy Malware |
| Texte | ## Instantané McAfee Labs a découvert une nouvelle méthode de livraison de logiciels malveillants connue sous le nom de chaîne d'infection "ClickFix". ## Description Les chercheurs de McAfee ont observé que Clickfix était utilisé de deux manières différentes.La première chaîne d'attaque commence lorsque les utilisateurs visitent des sites Web légitimes mais compromis, qui les redirigent vers des domaines hébergeant de fausses fenêtres contextuelles.Ces Windows demandent aux utilisateurs de coller un script dans un terminal PowerShell.La seconde commence par des e-mails de phishing avec des pièces jointes HTML se faisant passer pour les documents de mots à la boîte de réception d'une victime.En cliquant sur les invites de ces e-mails, JavaScript qui copie un script PowerShell dans le presse-papiers, demandant aux utilisateurs de l'exécuter. Une fois exécutés, ces scripts permettent aux logiciels malveillants d'infiltrer le système, conduisant potentiellement à un vol de données ou à une propagation supplémentaire.Des familles de logiciels malveillants comme Lumma Stealer et [Darkgate] (https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaaad126192697e6b648) ont été observés en utilisant ce technique.Darkgate est un logiciel malveillant de marchandises qui peut voler des informations, fournir un accès à distance et établir des portes bordées pendant que [Lumma Stealer] (https: //security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad) est un voleur d'informations malware-as-a-tas (maas). McAfee a observé le clicCorrection de la technique utilisée aux États-Unis, au Canada, au Mexique, en Australie, au Brésil et en Chine, entre autres. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus ### Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / DarkgatE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/darkgate.rpx!mtb& ;troatid=-2147076849& ocid=Magicti_ta_ency) - [Trojan: win64 / darkgate] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/darkgate!mtb& ;theatid=-2147076814&-2147076849 & ocid = magicti_ta_ency) - [Trojan: vbs / darkgate] (https://www.microsoft.com/en-us/wdssi/therets/malware-encyclopedia-dercription?name=trojan:vbs/darkgate.ba!msr& threattid=-2147075963&ocid = magicti_ta_ency) - [comportementou: win32 / darkgate] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/darkgate.aa&theatid=-2147075677) - [Trojan: Win32 / Lummacstealer] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyClopedia-Description? Name = Trojan: Win32 / Lummacstealer! Mtb & menaceID = -2147117932) - [PWS: Win32 / Lumma] (https://www.microsoft.com/en-us/wdsi/Thereats/ Malware-SencyClopedia-Description? Name = PWS: WIN32 / LUMMA! ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_TA_LearnDoc) pour les utilisateurs. - Implémentez [Force d'authentification d'accès conditionnel] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-strengs?ocid=Magicti_TA_Learndoc) pour nécessiter une authentification de phishing-résistants pour les employés et les utilisateurs externes pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour l |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### 2024 2147075677 2147075963&ocid=magicti 2147076814&threatid= 2147076849&ocid=magicti 2147078266 2147117932 365 365/security/defender 365/security/office 42aa 8e3f 9e7d108c aa&threatid= aad about ac3a access access/howto accessed account accounts activity addition adhere administrative administrator advanced against age all allow allowed among anti antivirus any app application applications apps apps/proxy are attachments attack attacks attempts audit auditing australia authentication authorize avoid backdoors baselines bca892898972 been begins behavior:win32/darkgate being best billing/view block blocked blogs/mcafee brazil but can canada cautious chain chat child china click clickfix clicking clipboard cloud code codes collaboration com/account com/azure/active com/blogs/other com/defender com/en com/intel com/mem/intune/protect/security com/microsoft com/microsoftteams/communicate com/microsoftteams/trusted com/purview/audit commodity common communication compliant components compromised conditional configure connecting content control copies creating credential criterion critical customers darkgate data deception deception: defender define delivered delivery deploy deploy description detections/hunting detects device devices different directory/authentication/concept directory/conditional documents domain domains downloaded educate email emails employed employees ency encyclopedia endpoint/attack enforce engineering entering entities eop establish exchange excluded executable execute executed external fake families files first flow following form from further has have help hosting html https://learn https://security https://support https://www hygiene impact implement inbound inbox including infection infiltrate information injecting ins installation instruct instructing intro investigated javascript keep known labs labs/clickfix launching leading learndoc learndoc#block learndoc#specify learndoc#use least legitimate level like limit links list local locations looking lumma maas mail maintain malicious malware malware/ malware: mark masquerading mcafee meet meetings messages method methods mexico me” mfa microsoft mitigations msr&threatid= mtb&threatid= name=behavior:win32/darkgate name=pws:win32/lumma name=trojan:vbs/darkgate name=trojan:win32/darkgate name=trojan:win32/lummacstealer name=trojan:win64/darkgate never novel observed occurs ocid=magicti office once online only on organization organizations other others over overview paste phishing pilot policy popup potentially powershell practice prevalence prevent principle privilege privileges processes profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648 prompts propagation protect protection provide provides pws:win32/lumma queries ransomware rats recheck recommendations recommended recommends records redirect reduce reduction reference references refraining regular remote remove requests require required researchers resistant restricting review rewriting rpx rules running safe scanning school script scripts second security security/anti security/attack security/safe select sent service settings settings&ocid=magicti share sharepoint sign simulation simulations snapshot social solutions spam specify states steal stealer strength strengths strictly such support surface suspicious system tabs=organization tactic tagging teams technique techniques: terminal theft them these the threat time times to training triggers trojan:vbs/darkgate trojan:win32/darkgate trojan:win32/lummacstealer trojan:win64/darkgate trusted turn two uncovered understand united unless unmanaged unsolicited unwanted url urls us/wdsi/threats/malware use used users using vbscript verification verify victim visit wasn ways websites what when which wide windows word work your about and and enabled for protection that to “this |
| Tags | Malware Threat Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.