#ClickFix #Proofpoint #APT
در April 2024 شرکت Proofpoint یک روشی برای ایجاد دسترسی اولیه معرفی کرد با نام ClickFix، این روش به این صورت بوده که مهاجمین اقدام به ایجاد یک پیام در مرورگر Chrome کرده مبتنی بر مشکل بروز رسانی مرورگر که در صورت اجرای خطا، اولین فاز حمله اجرا میشده است.
تیمی از کره جنوبی بواسطه ایمیل فیشینگ، اقدام به معرفی یک فایل RAR بر بستر pCloud قرار داده که بعد از اجرای فایل PDF مخرب، قربانی را راهنمایی میکند تا پاورشل را باز کرده و کد داخل Code.txt را کپی و بر روی پاورشل اجرا نماید.
اینجا یک Padding باینری برای مبهم سازی قرار داده شد و یک کد VBS را به اجرا در آورده که آن نیز یک شناسایی داخلی انجام میدهد.
یک Schtasks اجرا میشود برای اجرای RAT اصلی و ایجاد دسترسی C2 انجام شده است.
نوع صحبت با یک نقطه انتهایی demo.php را بواسطه یک curl انجام شده و Whoami را به نقطه انتهایی ارسال میکند.
نکته این محله آنجاست که مهاجم سعی داشته کد درون Code.txt را مبهم سازی معکوس انجام داده تا قربانی متوجه مخرب بودن کد نشده و اقدام به اجرا کد نماید.
@Unk9vvN
در April 2024 شرکت Proofpoint یک روشی برای ایجاد دسترسی اولیه معرفی کرد با نام ClickFix، این روش به این صورت بوده که مهاجمین اقدام به ایجاد یک پیام در مرورگر Chrome کرده مبتنی بر مشکل بروز رسانی مرورگر که در صورت اجرای خطا، اولین فاز حمله اجرا میشده است.
تیمی از کره جنوبی بواسطه ایمیل فیشینگ، اقدام به معرفی یک فایل RAR بر بستر pCloud قرار داده که بعد از اجرای فایل PDF مخرب، قربانی را راهنمایی میکند تا پاورشل را باز کرده و کد داخل Code.txt را کپی و بر روی پاورشل اجرا نماید.
اینجا یک Padding باینری برای مبهم سازی قرار داده شد و یک کد VBS را به اجرا در آورده که آن نیز یک شناسایی داخلی انجام میدهد.
یک Schtasks اجرا میشود برای اجرای RAT اصلی و ایجاد دسترسی C2 انجام شده است.
نوع صحبت با یک نقطه انتهایی demo.php را بواسطه یک curl انجام شده و Whoami را به نقطه انتهایی ارسال میکند.
نکته این محله آنجاست که مهاجم سعی داشته کد درون Code.txt را مبهم سازی معکوس انجام داده تا قربانی متوجه مخرب بودن کد نشده و اقدام به اجرا کد نماید.
@Unk9vvN