Een ransomwaregroep genaamd LeakNet maakt gebruik van gehackte WordPress-sites en de ClickFix-methode om malware te verspreiden. Dat laat securitybedrijf ReliaQuest weten. Bij ClickFix krijgen internetgebruikers vaak een zogenaamde CAPTCHA te zien. Voor het oplossen van de "CAPTCHA" moeten gebruikers de gegeven instructies volgen. Deze instructies zorgen er echter voor dat gebruikers een malafide commando op hun systeem uitvoeren waardoor er malware wordt gedownload en uitgevoerd.

De malafide code die voor het weergeven van de "CAPTCHA" wordt gebruikt injecteren de aanvallers op gehackte WordPress-sites. Hoe deze sites worden gecompromitteerd laten de onderzoekers niet weten. Onlangs waarschuwde ook securitybedrijf Rapid7 voor honderden gehackte WordPress-sites die door middel van een zogenaamde Cloudflare-CAPTCHA malware verspreiden. Het gaat daarbij specifiek om infostealer-malware die wachtwoorden en andere inloggegevens van besmette systemen steelt.

ReliaQuest meldt dat de LeakNet-groep deze werkwijze nu ook toepast om systemen te infecteren. In plaats van infostealer-malware wordt de Deno runtime omgeving geïnstalleerd, die normaliter wordt gebruikt voor applicatie-ontwikkeling. In dit geval gebruiken de aanvallers Deno voor het uitvoeren van malafide code. Daarbij wordt de payload van de aanvallers voornamelijk in het geheugen uitgevoerd, wat detectie lastiger zou moeten maken. De aanvallers proberen zich vervolgens lateraal door het netwerk te bewegen om daarna data van de aangevallen organisatie te stelen en vervolgens bestanden te versleutelen.

"Door ClickFix te gebruiken kan elke medewerker die websites bezoekt een toegangspunt worden. De ClickFix-campagne van LeakNet richt zich niet op specifieke gebruikers of bedrijven. In plaats daarvan gooit de groep een groot net uit en vertrouwt op massa, waarbij ze ervan uitgaan dat een deel van de gebruikers het malafide commando zal uitvoeren", aldus de onderzoekers. Een groot datalek bij de gemeente Epe werd veroorzaakt door een ClickFix-aanval.