Staatshackers zetten in op social engineeringtechniek ClickFix
Overheidsactoren sponsoren en gebruiken actief de social engineeringtechniek ClickFix. Deze techniek maakt gebruik van dialoogvensters om slachtoffers te misleiden. In veel gevallen krijgen slachtoffers daarbij de opdracht bepaalde opdrachten uit te voeren op hun computer, waarmee zij onbewust schadelijke handelingen uitvoeren.
Hiervoor waarschuwen onderzoekers van het cybersecuritybedrijf Proofpoint. Een opvallende trend in het dreigingslandschap is de aanpassingsvermogen van tactieken, technieken en procedures (TTP's). Dreigingsactoren delen, kopiëren, stelen, wijzigen en testen TTP's die ze vinden in openbare bronnen of door interacties met andere kwaadwillende groepen.
Staatshackers nemen technieken van cybercriminelen over
Proofpoint meldt dat overheidsgesponsorde actoren technieken overnemen die oorspronkelijk door cybercriminelen zijn ontwikkeld. Een voorbeeld hiervan is ClickFix, een social engineeringtechniek die dialoogvensters gebruikt om slachtoffers te misleiden. Deze vensters bevatten instructies om opdrachten te kopiëren, plakken en uit te voeren op hun computer. De techniek misbruikt niet alleen valse foutmeldingen, maar ook officiële waarschuwingen en instructies die als oplossing worden aangeboden.
Proofpoint's onderzoek toont aan dat groepen uit Noord-Korea (TA457), Iran (TA450) en Rusland (UNK_RemoteRogue en TA422) ClickFix hebben gebruikt in een periode van drie maanden, van eind 2024 tot begin 2025. De onderzoekers vermoeden dat, door de toenemende populariteit van ClickFix, meer overheidsgesponsorde actoren deze techniek gaan gebruiken. Dit benadrukt de evolutie van TTP's in het huidige dreigingslandschap, waarbij gesponsorde actoren steeds vaker technieken van cybercriminelen overnemen.
Hoewel ClickFix meerdere keren is waargenomen, gebruikt geen enkele actor de methode herhaaldelijk. Het is onduidelijk waarom er slechts één observatie per ClickFix-campagne is, terwijl andere aanvalspogingen vaak tegelijkertijd plaatsvinden. Recentelijk is ook de dreigingsactor Emerald Sleet (TA427) in april teruggevallen op ClickFix, wat wijst op een verandering in hun infectieketen en mogelijke verdere ontwikkeling van de techniek.
Verdere groei van gebruik verwacht
Ondanks dat ClickFix niet vaak wordt gebruikt, is het waarschijnlijk dat meer dreigingsactoren uit Noord-Korea, Iran en Rusland deze techniek hebben getest of dit in de nabije toekomst gaan doen. Hoewel de onderzoeksresultaten geen gebruik door China tonen, suggereert het grote aantal campagnes dat ook Chinese groepen mogelijk hebben geëxperimenteerd met ClickFix.
Meer informatie is hier beschikbaar.
Meer over Proofpoint
Over Wouter Hoeffnagel
