ClearFake 攻击链示例
网络犯罪分子正在使用一种新的巧妙“复制粘贴”技术来欺骗受害者。
Chrome 浏览器上会出现一条虚假错误消息,并提供“安装根证书”的简单说明,但实际上却会导致安装信息窃取程序或其他恶意软件。
Proofpoint 的研究人员发现,一种独特的社会工程活动正变得越来越流行,黑客让用户自我破坏自己的系统。
被入侵的电子邮件或网站会发送错误消息,要求用户通过将其复制并粘贴到 Windows PowerShell 终端来应用修复。
实际上,用户运行恶意脚本,从而使其计算机感染恶意软件。
研究人员更详细地解释道:
用户会看到一个弹出文本框,提示在尝试打开文档或网页时发生了错误,并提供了将恶意脚本复制并粘贴到 PowerShell 终端或 Windows 运行对话框中的说明,最终通过 PowerShell 运行该脚本。
他们观察到威胁行为者 TA571 和其他人员传播了诸如 DarkGate、Matanbuchus、NetSupport 和各种信息窃取程序之类的恶意软件。
该活动通常通过垃圾邮件攻击或 Web 浏览器注入开始。
从剪贴板到入侵:PowerShell自攻
https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwnProofpoint 在报告中表示:
尽管攻击链需要大量用户交互才能成功,但社会工程学足够聪明,可以同时向某人呈现看似真实的问题和解决方案,这可能会促使用户在不考虑风险的情况下采取行动。
运行时,该脚本会执行各种功能。它会刷新 DNS 缓存、删除剪贴板内容并向用户显示诱饵消息,同时下载另一个要执行的远程 PowerShell 脚本。
第二个脚本是另一个脚本的下载程序,它会检查机器是否不是虚拟的,然后继续执行最后的第四个脚本来下载并执行实际的恶意软件。
Lumma Stealer 是一种常用的有效载荷,针对的是加密钱包。
它会窃取并泄露用户信息和会话令牌。
据观察,攻击者使用 Lumma 下载其他恶意负载,用于挖掘和窃取加密货币以及执行其他邪恶任务。
还有其他类似的活动显示虚假弹出窗口,声称 Chrome 无法更新。
Proofpoint 将 TA571 描述为垃圾邮件分发者,因为它发送大量电子邮件活动来为其网络犯罪客户投放和安装各种恶意软件。
报告总结道:
该攻击链非常独特,与 Proofpoint 观察到的网络犯罪威胁行为者采用新颖、多样且越来越有创意的攻击链的总体趋势相符。
Proofpoint 建议组织培训用户识别和报告可疑活动。
原文始发于微信公众号(网络研究观):黑客部署新策略:应用修复程序获取恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论