Aktivna Clickfix kampanja koristi kompromitovane sajtove za distribuciju malvera
Kompromitovani sajtovi na Balkanu koriste Clickfix za distribuciju Vidar infostealer-a
Šta se desilo?
Otkrivena je aktivna kampanja korišćenja Clickfix exploit kita preko kompromitovanih web-sajtova. Napadi koriste nekoliko malicioznih domena za distribuciju Vidar infostealer-a i other payload-a. Prema dostupnim artefaktima na VirusTotal i urlscan platformama, kampanja je najmanje od 12. juna u aktivnoj upotrebi.
Koga pogađa?
Riziku su izloženi svi korisnici koji pristupe kompromitovanim sajtovima preko različitih IP adresa. Kampanja koristi Vidar infostealer što ukazuje na ciljanu kradju lozinki, kriptovaluta i drugih osetljivih podataka sa zaraženih računara.
Kako se zaštititi?
- Redovno ažurirajte operativni sistem i sve instalirane aplikacije
- Koristite pouzdanu anti-malware zaštitu sa aktivnom detekcijom exploit-a
- Izbegavajte kliktanje na sumnjive linkove, posebno iz nepouzdanih izvora
- Pratite liste kompromitovanih sajtova i izbegavajte posete takvim domenama
- Razmislite o korišćenju DNS filtera za blokiranje poznatih malicioznih domena
Tehnički detalji
Detektovane maliciozni domenei difftells.com (Clickfix payload delivery), framework-css-styles-js.beer (Vidar infostealer), verification-js-cdn.boats (Vidar infostealer). Domeni se razlikuju od prethodno otkrivene kampanje vezane za unspanel.rs. Artefakti na urlscan platformi i VirusTotal detektuju kompromitovanu prirodu sajtova, mada detalji o hosting infrastrukturi ostaju nedostupni jer urlscan ne čuva HTTP request podatke.
Preporuka Sajber Radara
Pratite alerts iz vaših sigurnosnih sistema vezano za Clickfix i Vidar infostealer. Blokiranje navedenih domena na nivou mreže sprečava distribuciju malvera. Preporučujemo updatovanje svih kritičnih sistema i jačanje endpoint zaštite sa posebnom pažnjom na exploit prevention mehanizme.