Lemon8Lifestyle community

Automatically translated.View original post

FreedomHack 󱢏
FreedomHack 󱢏

3876 followers

Follow
Follow
Follow
New ClickFix campaign detected's images(0)
1/2

You may also like

No content
See more on the app
See more on the app
See more on the app
0 saved
1

New ClickFix campaign detected

A new ClickFix campaign was detected, tricking the victim into changing the DNS value to install the malware.

As usual, a ClickFix campaign, or tricking the victim into following a fake error screen command, usually leads to the insertion of code to install the malware directly, but this campaign is something different.

According to a report by the website Cyber Security News, it mentions the detection of a ClickFix campaign in a new way that, instead of tricking the installation of traditional malware, leads to more technical changes on the victim's machine: modifying the Domain Name System or DNS settings on the victim's machine. After the victim completes the command by placing code on Run and pressing Enter, instead of downloading malware, the script runs cmd.exe to perform DNS Lookup (domain search) to the hacker's external server instead of the DNS Resolver. It is on the victim's system. This script will execute a Parse, Request, or Request sent out, especially in the Name: field of the DNS. In this field, it is not a real server name, but a payload file in step 2. If it is successfully downloaded, it will be installed immediately.

This technique allows hackers to use the DNS as a lightweight Staging Channel, confirming the accuracy of the target (Validation) before sending a heavier malware to the victim's machine. In addition, using this channel, which is a normal channel to communicate with the network, helps evade detection.

A research team from Microsoft Defender, the cybersecurity subsidiary of Microsoft, has also said that after downloading Payload in step 2 from Trigger by DNS Response, it will lead to chain malware embedding by downloading zipped compressed files. Inside, there is a Python Bundle file. If the file is opened, it will lead to Reconnaissance in the Host and Domain section, followed by Persistence in the victim's system by releasing VBScript scripts. Come down and create a shortcut called MonitoringService.lnk inside the Windows Startup folder to ensure that malware is restarted every time a new machine is booted.

And finally, it will be the last payload that is remotely controlled by the victim's machine, or the Remote Access Trojan (RAT), called ModeloRAT, installed on the victim's machine. The good news is that Windows Defender can be blocked. The malware is recorded in the database of this protection tool under the name Trojan: Win32 / ClickFix.R! ml.

# Trending # Lemon 8 Howtoo # lemon 8 diary # freedomhack # it

3/5 Edited to

... Read moreจากประสบการณ์ส่วนตัว ผมเคยเจอปัญหาความปลอดภัยคอมพิวเตอร์จากมัลแวร์ที่ใช้เทคนิคหลบซ่อนขั้นสูงแบบนี้ เมื่อหลายปีก่อนซอฟต์แวร์ป้องกันไวรัสไม่สามารถตรวจจับได้ทันที เพราะแฮกเกอร์ใช้ช่องทาง DNS ในการโหลดมัลแวร์ขั้นที่สอง ซึ่งถือเป็นวิธีการที่ฉลาดและซับซ้อนมาก เนื่องจาก DNS เป็นฟังก์ชันที่มีความจำเป็นอย่างยิ่งในการเชื่อมต่ออินเทอร์เน็ต ทำให้มัลแวร์สามารถหลีกเลี่ยงการถูกบล็อกโดยระบบรักษาความปลอดภัยทั่วไปได้ เทคนิคการใช้ DNS Lookup ในส่วนฟิลด์ Name: เพื่อส่งข้อมูลไฟล์มัลแวร์นั้น ทำให้วิธีตรวจจับด้วยระบบเดิมทำได้ยากขึ้นมาก เพราะข้อมูลมัลแวร์ถูกซ่อนในคำร้องขอ DNS ที่ดูเหมือนไม่มีพิษมีภัย ในฐานะผู้ใช้งานทั่วไป สิ่งที่ควรระวังคืออย่าไว้วางใจคำสั่งหรือหน้าต่างให้กดใส่โค้ดแปลก ๆ โดยเฉพาะอย่างยิ่งที่มาไม่ชัดเจนหรือมีลักษณะหลอกลวง นอกจากนี้ การตั้งค่าระบบ DNS ของเครื่องควรตรวจสอบอย่างสม่ำเสมอ ว่าถูกตั้งค่าโดยเราเองหรือแอปพลิเคชันที่น่าเชื่อถือ เพราะถ้าพบว่าถูกเปลี่ยนแบบไม่ทราบสาเหตุ อาจเป็นสัญญาณเตือนว่ามีมัลแวร์พยายามเข้าควบคุมเครื่องเรา ข้อมูลจากทีมวิจัย Microsoft Defender ที่แสดงให้เห็นการทำงานของมัลแวร์แบบลูกโซ่ การใช้ไฟล์ Zip และ Python Bundle เพื่อขยายอันตรายบนเครื่องนั้น ยิ่งเสริมให้เขตข้อมูลความปลอดภัยของเครื่องต้องเข้มงวดและอัปเดตโปรแกรมป้องกันไวรัสอยู่เสมอ หากได้ลองตรวจสอบประวัติ DNS Lookup ของเครื่องและพบคำขอที่ผิดปกติ เช่น ชื่อโดเมนแปลก ๆ หรือมีลักษณะเป็นข้อมูลที่เข้ารหัส ควรรีบหาข้อมูลและใช้ซอฟต์แวร์สแกนไวรัสทันที เนื่องจากแคมเปญ ClickFix รูปแบบใหม่นี้ใช้ความรู้ทางเทคนิคสูง จึงเหมาะกับการโจมตีแบบเจาะจงเป้าหมาย (Targeted Attack) ที่ต้องการข้อมูลหรือควบคุมเครื่องเหยื่อจากระยะไกล สุดท้าย การเรียนรู้และสดุดีเทคนิคการโจมตีใหม่ ๆ แบบนี้จะช่วยให้ผู้ใช้และองค์กรเพิ่มความระมัดระวังและมีมาตรการจัดการความปลอดภัยได้ดียิ่งขึ้น เช่น การจัดฝึกอบรมให้ความรู้เกี่ยวกับฟิชชิ่ง การตั้งค่าระบบเครือข่ายอย่างถูกต้อง และการติดตั้งโปรแกรมป้องกันมัลแวร์ที่มีประสิทธิภาพ แม้จะเป็นเรื่องซับซ้อน การป้องกันและความระมัดระวังอย่างต่อเนื่องเป็นวิธีที่ดีที่สุดในการลดความเสี่ยงด้านความปลอดภัยไซเบอร์