Šta se desilo?

Otkrivena je aktivna kampanja korišćenja Clickfix exploit kita preko kompromitovanih web-sajtova. Napadi koriste nekoliko malicioznih domena za distribuciju Vidar infostealer-a i other payload-a. Prema dostupnim artefaktima na VirusTotal i urlscan platformama, kampanja je najmanje od 12. juna u aktivnoj upotrebi.

Koga pogađa?

Riziku su izloženi svi korisnici koji pristupe kompromitovanim sajtovima preko različitih IP adresa. Kampanja koristi Vidar infostealer što ukazuje na ciljanu kradju lozinki, kriptovaluta i drugih osetljivih podataka sa zaraženih računara.

Kako se zaštititi?

  • Redovno ažurirajte operativni sistem i sve instalirane aplikacije
  • Koristite pouzdanu anti-malware zaštitu sa aktivnom detekcijom exploit-a
  • Izbegavajte kliktanje na sumnjive linkove, posebno iz nepouzdanih izvora
  • Pratite liste kompromitovanih sajtova i izbegavajte posete takvim domenama
  • Razmislite o korišćenju DNS filtera za blokiranje poznatih malicioznih domena

Tehnički detalji

Detektovane maliciozni domenei difftells.com (Clickfix payload delivery), framework-css-styles-js.beer (Vidar infostealer), verification-js-cdn.boats (Vidar infostealer). Domeni se razlikuju od prethodno otkrivene kampanje vezane za unspanel.rs. Artefakti na urlscan platformi i VirusTotal detektuju kompromitovanu prirodu sajtova, mada detalji o hosting infrastrukturi ostaju nedostupni jer urlscan ne čuva HTTP request podatke.

Preporuka Sajber Radara

Pratite alerts iz vaših sigurnosnih sistema vezano za Clickfix i Vidar infostealer. Blokiranje navedenih domena na nivou mreže sprečava distribuciju malvera. Preporučujemo updatovanje svih kritičnih sistema i jačanje endpoint zaštite sa posebnom pažnjom na exploit prevention mehanizme.