扫码领资料
获网安教程
近期,安全研究人员发现多个黑客组织利用使用伪造的 Google Chrome、Word 和 OneDrive 错误来诱骗用户运行安装恶意的PowerShell“修复程序”。其中包括 ClearFake、名为 ClickFix 的新攻击集群,以及 TA571 ,其中TA571 以发送大量电子邮件、导致恶意软件和勒索软件感染的垃圾邮件分发者而闻名。
Proofpoint 安全研究员观察到三条攻击链,它们主要在初始阶段有所区别,只有第一条攻击链不能确定归因于 TA571。
在第一个攻击链与 ClearFake 有关,当用户访问一个被感染的网站,该网站会通过币安的智能链合约加载托管在区块链上的恶意脚本。
该脚本执行一些检查并显示伪造的 Google Chrome 警告,提示显示网页时出现问题。然后,对话框提示访问者通过将 PowerShell 脚本复制到 Windows 剪贴板并在 Windows PowerShell(管理)控制台中运行该脚本来安装“根证书”。
来源:Proofpoint
当执行 PowerShell 脚本时,它将执行各种步骤来确认设备是有效目标,然后它将下载其他有效负载,如下:
-
刷新 DNS 缓存。
-
删除剪贴板内容。
-
显示诱饵消息。
-
下载另一个远程 PowerShell 脚本,该脚本在下载信息窃取程序之前执行反虚拟机检查。
来源:Proofpoint
第二条攻击链与“ClickFix”活动有关,并在受感染的网站上使用注入来创建 iframe 来覆盖另一个伪造的 Google Chrome 错误。用户被指示打开“Windows PowerShell(管理员)”并粘贴提供的代码,导致上述相同的感染。最后,使用类似于 Microsoft Word 文档的 HTML 附件的基于电子邮件的感染链提示用户安装“Word Online”扩展程序才能正确查看文档。错误消息提供了“如何修复”和“自动修复”选项,其中“如何修复”将 base64 编码的 PowerShell 命令复制到剪贴板,指示用户将其粘贴到 PowerShell 中。“自动修复”使用 search-ms 协议在远程攻击者控制的文件共享上显示 WebDAV 托管的“fix.msi”或“fix.vbs”文件。
来源:Proofpoint
在这种情况下,PowerShell 命令会下载并执行 MSI 文件或 VBS 脚本,分别导致 Matanbuchus 或 DarkGate 感染。
在所有情况下,攻击者都会利用目标对在其系统上执行 PowerShell 命令的风险缺乏认识。他们还利用了 Windows 无法检测和阻止粘贴代码发起的恶意操作的功能。
不同的攻击链表明TA571正在积极尝试多种方法来提高有效性并寻找更多的感染途径来危害更多的系统。
原文地址:https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/
图片来源:https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
原文始发于微信公众号(掌控安全EDU):虚假的 Chrome 浏览器错误诱骗用户运行恶意PowerShell 脚本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论