باند Interlock Ransomware اکنون از حملات ClickFix استفاده می کند که ابزارهای IT را برای نقض شبکه های شرکتی و استقرار بدافزارهای رمزگذاری فایل در دستگاه ها قرار می دهد.

ClickFix یک تاکتیک مهندسی اجتماعی است که در آن قربانیان در اجرای دستورات خطرناک PowerShell در سیستم های خود فریب خورده اند تا ظاهراً خطایی را برطرف کنند یا خود را تأیید کنند و در نتیجه نصب بدافزار انجام شود.

اگرچه این اولین بار نیست که ClickFix با عفونت های باج افزار مرتبط است ، تأیید در مورد Interlock روند فزاینده ای را در این نوع بازیگران تهدید که از این تاکتیک استفاده می کنند ، نشان می دهد.

Interlock یک عمل باج افزار است که در اواخر سپتامبر 2024 آغاز شده و سرورهای FreeBSD و سیستم های ویندوز را هدف قرار می دهد.

اعتقاد بر این نیست که Interlock به عنوان یک مدل باج افزار به عنوان یک سرویس فعالیت می کند. با این وجود ، این یک پورتال نشت داده ها را در وب تاریک برای افزایش فشار بر قربانیان حفظ می کند و خواستار پرداخت های مختلف از صدها هزار دلار تا میلیون ها دلار است.

از ClickFix گرفته تا باج افزار

در گذشته ، Interlock از مرورگر جعلی و به روزرسانی های مشتری VPN برای نصب بدافزار و نقض شبکه ها استفاده می کند.

به گفته محققان SEKOIA ، باند Interlock Ransomware با استفاده از حملات ClickFix در ژانویه 2025 شروع به استفاده کرد.

Interlock حداقل از چهار آدرس URL برای میزبانی درخواست های جعلی Captcha استفاده کرد که به بازدید کنندگان می گوید یک دستور را در رایانه خود اجرا کنند تا خود را تأیید کنند و یک ابزار تبلیغی را بارگیری کنند.

محققان می گویند که آنها CAPTCHA مخرب را در چهار سایت مختلف ، تقلید از مایکروسافت یا پورتال های اسکنر پیشرفته IP را تشخیص داده اند:

• Microsoft-MSTEAMS[.]com/check check.html
• ریزگردها[.]com/check check.html
• اکولوژیک[.]com/check check.html
• پیشرو[.]com/check check.html

با این حال ، فقط سایت جعلی IP Advanced IP ، یک ابزار محبوب اسکن IP که معمولاً توسط کارکنان IT استفاده می شود ، منجر به بارگیری یک نصب کننده مخرب شد.

با کلیک بر روی دکمه “Fix It” ، دستور مخرب PowerShell را به کلیپ بورد قربانی کپی می کند. اگر در یک گفتگوی سریع یا ویندوز اجرا شود ، یک بار Pyinstaller 36 مگابایت را بارگیری می کند.

در همین زمان ، وب سایت Elartimate AdvancePancanner در یک پنجره مرورگر برای کاهش سوء ظن افتتاح می شود.

Payload مخرب یک کپی قانونی از نرم افزاری را که وانمود می کند نصب می کند و همزمان یک اسکریپت تعبیه شده PowerShell را اجرا می کند که در یک پنجره پنهان اجرا می شود.

این اسکریپت یک کلید اجرا را در رجیستری ویندوز برای پایداری ثبت می کند و سپس اطلاعات سیستم از جمله نسخه سیستم عامل ، سطح امتیاز کاربر ، فرآیندهای در حال اجرا و درایوهای موجود را جمع آوری و تبعید می کند.

Sekoia فرمان و کنترل (C2) را در پاسخ به بارهای مختلف از جمله Lummastealer ، Berserkstealer ، Keyloggers و موش Interlock مشاهده کرده است.

مورد دوم یک تروجان ساده است که می تواند به صورت پویا پیکربندی شود ، از فایل پشتیبانی ، اجرای فرمان پوسته و اجرای DLL های مخرب پشتیبانی می کند.

پس از سازش اولیه و استقرار موش ، اپراتورهای Interlock از اعتبار دزدیده شده برای حرکت جانبی از طریق RDP استفاده کردند ، در حالی که Sekoia همچنین در برخی از حملات ، بتونه ، هرکس و لگمین را دید.

آخرین مرحله قبل از اجرای باج افزار ، اگزیلتراسیون داده ها است که پرونده های سرقت شده در حباب های لاجورد کنترل شده توسط مهاجم بارگذاری شده است.

نوع ویندوز Interlock (از طریق یک کار برنامه ریزی شده) تنظیم شده است تا روزانه ساعت 08 بعد از ظهر اجرا شود ، اما به لطف فیلتر مبتنی بر پرونده ، این باعث ایجاد چندین لایه رمزگذاری نمی شود بلکه به عنوان یک اقدام افزونگی عمل می کند.

Sekoia همچنین گزارش می دهد که Note Ransom نیز تکامل یافته است ، با این که آخرین نسخه ها بیشتر به جنبه قانونی نقض داده ها و پیامدهای نظارتی در صورت انتشار داده های سرقت شده متمرکز شده اند.

حملات ClickFix اکنون توسط طیف گسترده ای از بازیگران تهدید ، از جمله سایر باندهای باج افزار و هکرهای کره شمالی به تصویب رسیده است.

ماه گذشته ، Sekoia فهمید که گروه بدنام هک کردن کره شمالی Lazarus از حملات ClickFix استفاده می کند که افراد متقاضی کار را در صنعت رمزنگاری هدف قرار می دهد.