Nowe złośliwe oprogramowanie Mocha Manakin wdraża NodeInitRAT za pośrednictwem ataku Clickfix
Nowe i niepokojące cyberzagrożenie, nazwane Mocha Manakin, zostało zidentyfikowane przez firmę badawczą ds. cyberbezpieczeństwa Red Canary. Po raz pierwszy zauważone w styczniu 2025 r., to zagrożenie w wyjątkowy sposób łączy socjotechnikę oszukującą ludzi ze specjalnie stworzonym złośliwym oprogramowaniem.
Mocha Manakin stosuje oszukańczą taktykę zwaną wklej i uruchom (znaną również jako Clickfix lub fakeCAPTCHA ). Ta metoda oszukuje użytkowników komputerów, zmuszając ich do nieświadomego kopiowania i uruchamiania szkodliwych poleceń, często zamaskowanych jako kroki mające na celu naprawienie dostępu do dokumentu lub udowodnienie, że są ludźmi.
Te fałszywe instrukcje omijają regularne kontrole bezpieczeństwa, ułatwiając złośliwemu skryptowi pobieranie kolejnych szkodliwych programów na komputer ofiary. Od sierpnia 2024 r. Red Canary odnotował wzrost ataków typu „wklej i uruchom” ze względu na ich skuteczność w oszukiwaniu użytkowników.
Według wpisu technicznego firmy na blogu , tym, co wyróżnia Mocha Manakin, jest specjalnie stworzony złośliwy program, który dostarcza: oparty na NodeJS backdoor o nazwie NodeInitRAT. Gdy użytkownik da się nabrać na sztuczkę wklej i uruchom, polecenie PowerShell jest wykonywane w celu pobrania pliku .zip, który jest następnie zapisywany w tymczasowym folderze użytkownika, zwykle C:\Users\ .
To archiwum .zip zawiera legalny program node.exe. Następnie PowerShell używa tego node.exe do uruchomienia złośliwego kodu NodeInitRAT, przekazując go bezpośrednio przez wiersz poleceń.
Po zainstalowaniu NodeInitRAT może potajemnie zbierać poufne informacje sieciowe, uruchamiać wszelkie polecenia, które otrzyma, i wdrażać bardziej szkodliwe oprogramowanie. Ten niestandardowy backdoor komunikuje się ze swoimi kontrolerami przez Internet, często używając legalnych tuneli Cloudflare , aby ukryć swoją aktywność.
Od maja 2025 r. Red Canary nie widziało bezpośrednio, aby Mocha Manakin prowadził do ransomware. Jednak na podstawie jego możliwości i powiązań z aktywnością ransomware Interlock zaobserwowaną przez Sekoia.io , Red Canary uważa z umiarkowanym przekonaniem, że nieprzerwane infekcje Mocha Manakin mogą prawdopodobnie skutkować atakami ransomware. To powiązanie jest niepokojące, podkreślając poważny potencjał szyfrowania danych i żądań finansowych.
Red Canary radzi organizacjom, aby edukowały swoich pracowników na temat taktyk wklej i uruchom, ucząc ich, aby nie stosowali się do nieoczekiwanych instrukcji, które wymagają kopiowania i wklejania poleceń do systemu. Monitorowanie nietypowych zachowań komputera jest również kluczowe. Jeśli zostanie znaleziony NodeInitRAT, natychmiast zatrzymaj aktywne procesy node.exe uruchamiające złośliwe oprogramowanie. Szkodliwy kod może również znajdować się w ukrytych plikach (takich jak te znalezione w AppData\Roaming ) lub we wpisach rejestru systemu Windows, które należy usunąć, aby zapobiec ponownemu uruchomieniu złośliwego oprogramowania.
W celu obrony sieci, blokowanie komunikacji ze znanymi szkodliwymi domenami używanymi przez NodeInitRAT może uniemożliwić mu połączenie się z kontrolerami. Zespoły techniczne mogą również skonfigurować reguły wykrywania, aby wykrywać polecenia PowerShell, które używają invoke-expression i invoke-restmethod , które są typowymi oznakami początkowej infekcji Mocha Manakin. Pozostając czujnym i wdrażając te środki ochronne, organizacje mogą znacznie zmniejszyć ryzyko związane z tym rosnącym zagrożeniem.
HackRead
