Sikkerhetsforskere har oppdaget et ClickFix DNS-angrep som leverer skadevare ved hjelp av en vanlig Windows-diagnosekommando. I stedet for å laste ned en fil henter ofrene uvitende skadelig kode direkte gjennom DNS-forespørsler. Metoden skjuler nyttelasten i normal nettverkstrafikk og reduserer sjansen for oppdagelse.
Brukere lures til å kjøre kommandoer
Kampanjen bygger på sosial manipulering i stedet for programvaresårbarheter. Ofrene får instruksjoner som hevder at de må rette en feil eller aktivere en tjeneste. Guiden ber dem åpne Kjør-dialogen i Windows og kjøre en nslookup-kommando.
Kommandoen kobler til en DNS-server kontrollert av angriperen i stedet for en legitim resolver. I stedet for vanlig domenedata inneholder svaret kodede instruksjoner. Systemet starter deretter et PowerShell-skript uten at brukeren forstår formålet.
Skadevare leveres via DNS-svar
Angriperne legger neste steg av nyttelasten inn i DNS-svarets felt. Siden DNS-trafikk ser normal ut, behandler sikkerhetsverktøy den ofte som ufarlig bakgrunnsaktivitet. Dermed når instruksjonene enheten uten synlig nedlasting.
Etter kjøring henter skriptet flere komponenter og forbereder systemet for langvarig kompromittering. Det samler systeminformasjon og etablerer kontakt med angriperens infrastruktur.
Fjernstyring etableres
Den endelige nyttelasten installerer en fjernstyringstrojaner som gir angriperen kontroll over datamaskinen. Persistensmekanismer sørger for at skadevaren starter automatisk hver gang Windows starter.
Bruk av DNS som leveringskanal gjør det også mulig for angriperen å endre nyttelasten når som helst. De kan oppdatere svaret på serveren uten å endre kommandoen som vises for offeret.
Hvorfor metoden fungerer
Tradisjonelle sikkerhetsløsninger fokuserer ofte på nedlastinger eller mistenkelige nettsteder. Dette angrepet bruker i stedet et betrodd systemverktøy og vanlig nettverkstrafikk. Siden brukeren selv kjører kommandoen, fremstår aktiviteten legitim.
Metoden viser hvordan angripere i økende grad kombinerer brukerinteraksjon med skjult levering i stedet for å utnytte sårbarheter.
Beskyttelsesanbefalinger
Brukere bør unngå å kjøre kommandoer fra ukjente kilder, selv om instruksjonene virker tekniske. Organisasjoner bør overvåke uvanlige DNS-forespørsler og begrense skriptkjøring der det er mulig.
Opplæring i å gjenkjenne sosial manipulering er fortsatt et av de mest effektive forsvarene.
Konklusjon
ClickFix DNS-angrepet viser en overgang mot mer skjulte metoder for distribusjon av skadevare. Ved å skjule en PowerShell-nyttelast i DNS-svar omgår angripere mange tradisjonelle beskyttelser. Forsiktig brukeradferd og nettverksovervåking er avgjørende for å forhindre kompromittering.
0 svar til “ClickFix DNS-angrep leverer skadevare via nslookup”