Comunitatea de securitate cibernetică a semnalat apariția unui nou set de instrumente de phishing, denumit IUAM ClickFix Generator, care automatizează crearea paginilor de atac.
Acest kit reprezintă o soluție „la cheie”, fiind disponibil sub formă de Phishing-as-a-Service (PhaaS) pe forumurile underground. El permite atacatorilor chiar și cu expertiză tehnică minimă să lanseze campanii sofisticate.
Pagina de atac se deghizează în verificări legitime de browser, similare celor întâlnite la servicii precum Cloudflare (de exemplu, sub pretextul unei „verificări umane” sau „I Am Not a Robot”).
Elementul inovator constă în inducerea în eroare a victimelor pentru a copia și a executa comenzi malițioase direct în consolele de sistem (precum PowerShell pe Windows sau Terminal pe macOS).
Transferând sarcina de execuție către utilizatorul final, atacatorii ocolesc în mod eficient controalele automate de securitate de la nivelul rețelei și al endpoint-ului (cum ar fi sandbox-urile și filtrele de conținut).
Sfaturi de protectie
1. Politica „Zero Copy-Paste” în Consolele de Comandă
Obiectiv: Eliminarea vectorului de atac bazat pe inginerie socială, care forțează execuția manuală a codului malițios de către utilizatorul final.
Pasul 1: Interzicerea Operațională (Copy-Paste) - Stabiliți o politică IT fermă. Interziceți strict utilizatorilor copierea și lipirea oricărui tip de conținut textual (comenzi, scripturi) direct în interfețele de linie de comandă (PowerShell, CMD, Terminal) la solicitarea oricărui site web sau a unei ferestre pop-up de verificare.
Pasul 2: Conștientizare și Educație Anti-Phishing - Nicio platformă legitimă de securitate (Cloudflare, CAPTCHA etc.) nu va cere rularea manuală de comenzi de sistem pentru a verifica identitatea. Orice astfel de solicitare reprezintă un indicator de phishing și trebuie imediat raportată echipei de securitate.
2. Procedura Standard de Răspuns la Tentative de Execuție
Obiectiv: Instituirea unui protocol de răspuns al utilizatorului la întâlnirea cu un fals (ex: Fals Cloudflare) pentru a limita expunerea și a iniția blocarea rapidă.
Pasul 1 (Recunoaștere): Utilizatorul trebuie să recunoască semnalul de alarma - orice solicitare de a rula comenzi în consolă este un atac.
Pasul 2 (Acțiune Imediată): Stabiliți o procedură fermă - Închideți imediat fereastra sau tab-ul browserului care a emis solicitarea malițioasă.
Pasul 3 (Raportare): Raportați evenimentul echipei de Securitate IT/SOC (Security Operations Center) pentru a permite analizarea domeniului și implementarea măsurilor rapide de blocare.
3. Utilizarea Password Manager (Manager de Parole)
Obiectiv: Prevenirea introducerii automate a credențialelor pe site-uri false.
Pasul 1: Promovați utilizarea unui Password Manager (soluție dedicată sau integrată în browser).
Pasul 2: Explicați beneficiul - Managerul nu va completa automat parola pe site-uri de phishing, deoarece URL-ul nu se potrivește cu cel salvat.
4. Întărirea Politicilor de Execuție (AppLocker/WDAC)
Obiectiv: Oprirea executării de scripturi sau fișiere binare necunoscute prin Allow-Listing.
Pasul 1 (GPO/MEM): Accesați Group Policy Management Console (GPMC) sau consola Intune/MEM. Navigați la setările de securitate Windows.
Pasul 2 (AppLocker/WDAC): Configurați o politică de AppLocker (pe bază de Publisher sau Hash) sau încărcați o politică WDAC (.xml), permițând rularea doar a aplicațiilor și scripturilor cunoscute.
Pasul 3 (Căi Restricționate): Prin GPO sau Intune, restricționați executarea de scripturi și executabile din căi cu risc ridicat, precum %TEMP% și %APPDATA%.
5. Blocarea Execuției PowerShell de la Distanță (ASR)
Obiectiv: Prevenirea descărcării și rulării de scripturi din surse externe (IEX, DownloadString).
Pasul 1 (Consolă): Accesați Microsoft Defender for Endpoint sau Intune Endpoint Security / Attack Surface Reduction (ASR) Rules.
Pasul 2 (Regulă ASR): Activați regula "Block PowerShell scripts from downloading potentially malicious content" (GUID: d1e49aac-8f56-4286-92e9-08e219d361c3). Setați modul pe Block.
Pasul 3 (Constrained Mode): Aplicați o politică (GPO/Intune) care impune Constrained Language Mode în PowerShell pe dispozitivele utilizatorilor standard.
6. Restricționarea Interacțiunii cu Clipboard-ul în Aplicațiile Web
Obiectiv: Prevenirea copierii automate a comenzilor malițioase de către site-uri.
Pasul 1 (GPO/Intune): În setările browserelor (Chrome/Edge Administrative Templates) din GPO sau Intune, căutați politica de permisiuni.
Pasul 2 (Setare): Configurați politica pentru a limita sau dezactiva accesul la Clipboard pentru site-urile care nu sunt pe lista albă de domenii de încredere (setarea "Clipboard API").
7. Implementarea Filtrării Web la Nivel de Endpoint
Obiectiv: Blocarea preventivă a site-urilor de phishing.
Pasul 1 (EDR/NGAV): Asigurați-vă că soluția EDR/NGAV include un modul de Filtrare Web/URL cu baze de date de reputație actualizate.
Pasul 2 (Configurare): Configurați filtrele pentru a bloca accesul către domenii clasificate ca Phishing, Malware sau domeniile nou înregistrate (NDD).
8. Restricționarea Drepturilor de Utilizator (Least Privilege)
Obiectiv: Minimizarea impactului unui atac reușit.
Pasul 1 (Audit): Confirmați faptul că utilizatorii standard nu dețin drepturi de Administrator local pe stațiile lor de lucru.
Pasul 2 (GPO): Utilizați GPO sau Intune pentru a restricționa adăugarea de utilizatori în grupul Administratori locali, menținând controlul asupra permisiunilor de sistem.
9. Monitorizarea Lansărilor Shell Neobișnuite (EDR/SIEM)
Obiectiv: Detectarea tentativelor de lansare a comenzilor copiate.
Pasul 1 (Regulă EDR): În soluția EDR/SIEM (ex: Microsoft Defender, Sentinel), creați o regulă de detecție bazată pe evenimentele de Process Creation.
Pasul 2 (Filtrare): Setați regula să alerteze când powershell.exe sau cmd.exe sunt lansate cu argumente de linie de comandă cu o lungime neobișnuit de mare (ex: > 150-200 de caractere).
10. Analiza Jurnalelor și Utilizarea Browser Isolation
Obiectiv: Identificarea domeniilor compromise și izolarea riscului web.
Pasul 1 (Jurnale): Monitorizați jurnalele de trafic web (proxy/firewall) pentru a detecta domenii ce livrează cod JavaScript puternic obfuscat sau injectat.
Pasul 2 (Sandboxing): Utilizați Sandboxing-ul pentru a analiza conținutul acestor pagini înainte ca utilizatorii să le poată accesa.
Pasul 3 (Izolare): Dacă este disponibil, configurați Browser Isolation (RBI) pentru a deschide automat linkurile nesigure într-un container izolat, separat de sistemul de operare al utilizatorului.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro