ClickFix evoluira: API isporuka payloada i AMSI bypass

ClickFix evoluira: API isporuka payloada i AMSI bypass
Kolege, želim da skrenem pažnju na trend u sajber bezbednosti.
ClickFix odavno ne izgleda kao prost socijalni inženjering. Vidim kako napadači isporučuju komande preko API servera i maskiraju payload na nov način.
Posebno zabrinjava scenario sa Downloads folderom: u clipboard dospeva samo „orkestrator“, dok se zlonamerni kod pokreće iz preuzetog fajla. To pomaže zaobilaženju AMSI-ja i otežava analizu.
Za zaštitu bih pre svega pratio lance procesa: explorer.exe ili WindowsTerminal.exe -> powershell.exe/cmd.exe/msiexec.exe. Važni su i EDR, ograničenja za pokretanje skripti i obuka korisnika.
Zašto je to važno: napad menja oblik, ali i dalje se oslanja na poverenje čoveka i slab nadzor nad pokretanjem komandi.
Da li ste već pojačali monitoring ovakvih lanaca?
#SajberBezbednost #ClickFix #EDR #ThreatIntel


Poslednji komentari
Još nema komentara.