黑客部署新策略:应用修复程序获取恶意软件

admin 2024年6月21日15:12:34评论12 views字数 1861阅读6分12秒阅读模式

黑客部署新策略:应用修复程序获取恶意软件

ClearFake 攻击链示例

黑客部署新策略:应用修复程序获取恶意软件

什么是恶意软件?

恶意软件分析和逆向工程教程

下载量 550 万次的恶意软件手机应用程序

DarkGate:适应破坏安全系统的恶意软件

用于传播恶意软件并与 C2 通信的表情符号武器

黑客部署新策略:应用修复程序获取恶意软件

网络犯罪分子正在使用一种新的巧妙“复制粘贴”技术来欺骗受害者。

Chrome 浏览器上会出现一条虚假错误消息,并提供“安装根证书”的简单说明,但实际上却会导致安装信息窃取程序或其他恶意软件。

Proofpoint 的研究人员发现,一种独特的社会工程活动正变得越来越流行,黑客让用户自我破坏自己的系统。

被入侵的电子邮件或网站会发送错误消息,要求用户通过将其复制并粘贴到 Windows PowerShell 终端来应用修复。

实际上,用户运行恶意脚本,从而使其计算机感染恶意软件。

研究人员更详细地解释道:

用户会看到一个弹出文本框,提示在尝试打开文档或网页时发生了错误,并提供了将恶意脚本复制并粘贴到 PowerShell 终端或 Windows 运行对话框中的说明,最终通过 PowerShell 运行该脚本。

他们观察到威胁行为者 TA571 和其他人员传播了诸如 DarkGate、Matanbuchus、NetSupport 和各种信息窃取程序之类的恶意软件。

该活动通常通过垃圾邮件攻击或 Web 浏览器注入开始。

从剪贴板到入侵:PowerShell自攻

https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn
主要发现
Proofpoint 研究人员发现了一种越来越流行的技术,该技术利用独特的社会工程学来运行 PowerShell 并安装恶意软件。
研究人员观察到TA571和ClearFake活动集群使用了这种技术。
尽管攻击链需要大量用户交互才能成功,但社会工程学足够聪明,可以同时向某人呈现看似真实的问题和解决方案,这可能会促使用户在不考虑风险的情况下采取行动。
常见技术
在所有情况下,无论是通过虚假更新还是 HTML 附件,恶意 PowerShell/CMD 脚本都会通过浏览器端 JavaScript 复制到剪贴板,合法网站上也经常使用这种 JavaScript。
恶意内容包含在 HTML/网站的各个位置,并以多种方式编码,例如双 Base64、反向 Base64 甚至各种元素和函数中的明文。
合法使用、存储恶意代码的多种方式以及受害者手动运行恶意代码而与文件没有任何直接关联的事实,使得检测此类威胁变得困难。
由于防病毒软件和 EDR 在检查剪贴板内容时会遇到问题,因此需要在向受害者呈现恶意 HTML/网站之前进行检测和阻止。
至于要求受害者通过 PowerShell 终端或通过运行对话框运行恶意代码之间的区别,它们存在各种问题。
例如,使用 PowerShell 终端,用户必须执行更多步骤才能打开它。但是,一旦进入终端,只需右键单击一次,代码就会自动粘贴并执行,而无需受害者先查看代码。
对于运行对话框,整个过程可以通过四次点击/按钮组合完成:单击按钮,Ctrl+R 打开对话框,Ctrl+V 粘贴代码,然后输入运行代码。
但是,使用这种方法,受害者在看到粘贴的代码时可能会犹豫不决,可能会按取消而不是运行它。

Proofpoint 在报告中表示:

尽管攻击链需要大量用户交互才能成功,但社会工程学足够聪明,可以同时向某人呈现看似真实的问题和解决方案,这可能会促使用户在不考虑风险的情况下采取行动。

运行时,该脚本会执行各种功能。它会刷新 DNS 缓存、删除剪贴板内容并向用户显示诱饵消息,同时下载另一个要执行的远程 PowerShell 脚本。

第二个脚本是另一个脚本的下载程序,它会检查机器是否不是虚拟的,然后继续执行最后的第四个脚本来下载并执行实际的恶意软件。

Lumma Stealer 是一种常用的有效载荷,针对的是加密钱包。

它会窃取并泄露用户信息和会话令牌。

据观察,攻击者使用 Lumma 下载其他恶意负载,用于挖掘和窃取加密货币以及执行其他邪恶任务。

还有其他类似的活动显示虚假弹出窗口,声称 Chrome 无法更新。

Proofpoint 将 TA571 描述为垃圾邮件分发者,因为它发送大量电子邮件活动来为其网络犯罪客户投放和安装各种恶意软件。

报告总结道:

该攻击链非常独特,与 Proofpoint 观察到的网络犯罪威胁行为者采用新颖、多样且越来越有创意的攻击链的总体趋势相符。 

Proofpoint 建议组织培训用户识别和报告可疑活动。

原文始发于微信公众号(网络研究观):黑客部署新策略:应用修复程序获取恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月21日15:12:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客部署新策略:应用修复程序获取恶意软件https://cn-sec.com/archives/2869152.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息