Grupul APT Lazarus, cunoscut pentru campanii cibernetice complexe ce vizează atât organizații guvernamentale, cât și companii din domeniul tehnologiei, exploatează acum tehnica ClickFix cu scopul distribuirii de malware, atenționează Directoratul Național pentru Securitate Cibernetică (DNSC).

'Grupul APT Lazarus, asociat Coreei de Nord, este cunoscut pentru campanii cibernetice complexe ce vizează atât organizații guvernamentale, cât și companii din domeniul tehnologiei. În ultima perioadă, Lazarus a adoptat o nouă metodă de inginerie socială denumită ClickFix, care combină elemente de phishing și execuție de comenzi rău intenționate pentru a compromite țintele selectate. Atacul se bazează pe tehnici de inginerie socială prin website-uri false, oferte de angajare disimulate sau actualizări software fictive, iar exploatarea este posibilă prin interacțiunea directă a victimei, care rulează comenzile periculoase copiate în clipboard', susțin experții în securitate cibernetică.

Potrivit sursei citate, ClickFix este o tehnică de inginerie socială care păcălește utilizatorii să execute comenzi PowerShell periculoase. Astfel, utilizatorul este atras către o pagină web sau un scenariu aparent legitim (interviu de angajare, test tehnic, actualizare de software), în timp ce paginile afișează instrucțiuni care copiază automat comenzi periculoase în clipboard. Ulterior, victima este îndemnată să ruleze aceste comenzi în terminal, sub pretextul rezolvării unei probleme tehnice urgente, iar odată executate, comenzile pot descărca și instala malware, deschide sesiuni de comunicare cu servere de comandă și control, precum și exfiltra date sensibile.

'Scorul de severitate este ridicat, deoarece tehnica exploatează încrederea utilizatorului, poate ocoli filtrele tradiționale de securitate și poate conduce rapid la compromiterea completă a sistemului, ceea ce duce la acces neautorizat, exfiltrarea credențialelor și a datelor sensibile, instalarea de backdoor-uri persistente și facilitarea atacurilor ulterioare, precum mișcarea laterală sau ransomware', atrage atenția DNSC, într-o postare publicată, miercuri, pe pagina oficială de Facebook a instituției.

În acest context, specialiștii vin cu o serie de recomandări: instruirea utilizatorilor să nu ruleze, în terminal, comenzi primite din surse externe neautorizate; restricționarea PowerShell prin limitarea execuției la scripturi semnate digital, sau chiar reducerea ariei de execuție doar la utilizatorii cu rol de administrator; blocarea domeniilor și adreselor IP periculoase prin folosirea listelor cu indicatorii de compromitere disponibile public; politici privind reducerea drepturilor utilizatorilor pentru a limita impactul unei compromiteri; implementarea autentificării multi-factor (MFA) pentru accesul la resurse critice; actualizarea regulată a sistemelor și aplicațiilor pentru a elimina vulnerabilitățile cunoscute.

DNSC menționează că tehnica ClickFix folosită de Grupul APT Lazarus reprezintă o amenințare serioasă, ce ocolește măsurile obișnuite de protecție și poate conduce la acces neautorizat, furt de informații și instalarea unor programe periculoase. AGERPRES/(AS - redactor: Daniel Badea, editor: Mariana Nica
, editor online: Simona Aruştei)