从剪贴板到入侵：PowerShell自攻

主要发现 

Proofpoint 研究人员发现了一种越来越流行的技术，该技术利用独特的社会工程学来运行 PowerShell 并安装恶意软件。

研究人员观察到TA571和ClearFake活动集群使用了这种技术。

尽管攻击链需要大量用户交互才能成功，但社会工程学足够聪明，可以同时向某人呈现看似真实的问题和解决方案，这可能会促使用户在不考虑风险的情况下采取行动。

概述 

Proofpoint 发现，一种利用独特社会工程学的技术有所增加，该技术会引导用户复制和粘贴恶意的 PowerShell 脚本，从而用恶意软件感染他们的计算机。包括初始访问代理 TA571 和至少一个虚假更新活动集在内的威胁行为者正在使用此方法来传播恶意软件，包括 DarkGate、Matanbuchus、NetSupport 和各种信息窃取程序。  

无论最初的活动是通过恶意垃圾邮件开始，还是通过网络浏览器注入进行，其技术都是相似的。用户会看到一个弹出文本框，提示在尝试打开文档或网页时发生错误，并提供说明将恶意脚本复制并粘贴到 PowerShell 终端或 Windows 运行对话框中，最终通过 PowerShell 运行该脚本。  

Proofpoint 早在 2024 年 3 月 1 日就由 TA571 观察到了这种技术，在 4 月初由 ClearFake 集群观察到了这种技术，而在 6 月初两个集群也都观察到了这种技术。 

活动详情 

ClearFake 示例 

我们的研究人员于 4 月初在 ClearFake 活动中首次发现了这种技术，此后我们发现该技术在每次 ClearFake 活动中都得到了使用。ClearFake 是一个伪造的浏览器更新活动集群，它使用恶意 HTML 和 JavaScript 来破坏合法网站。  

在观察到的攻击活动中，当用户访问受感染的网站时，注入会导致该网站通过币安的智能链合约加载托管在区块链上的恶意脚本，这种技术被称为“ EtherHiding ”。初始脚本随后从使用 Keitaro TDS 进行过滤的域加载第二个脚本。如果第二个脚本加载并通过各种检查，并且受害者继续浏览该网站，他们会在受感染的网站上看到一个虚假的警告覆盖。此警告指示他们安装“根证书”以正确查看网站。  

恶意虚假警告，指示收件人复制 PowerShell 脚本并在 PowerShell 终端中运行它。 

该消息包括单击按钮复制 PowerShell 脚本的说明，然后提供了如何在受害者的计算机上手动运行此脚本的步骤。如果按照说明操作，用户可以通过将其粘贴到 PowerShell 命令行界面窗口中来执行 PowerShell。  

在 5 月份的活动中，我们观察到以下攻击链：该脚本执行了各种功能，包括刷新 DNS 缓存、删除剪贴板内容、向用户显示诱饵消息以及下载远程 PowerShell 脚本并在内存中执行。第二个 PowerShell 脚本主要用于下载另一个 PowerShell 脚本。第三个 PowerShell 脚本通过 WMI 获取系统温度，如果没有返回温度（许多虚拟环境和沙箱的情况都是如此），则退出脚本。但是，如果继续，它将导致第四个 AES 加密的 PowerShell 脚本，该脚本下载名为“data.zip”的文件并提取内容以查找和执行任何 .exe 文件，然后向 ClearFake C2 报告安装已完成。 

威胁者利用 ZIP 包含任何可执行文件的能力，捆绑了各种合法、已签名的可执行文件，这些可执行文件会加载一个木马化的 DLL。该 DLL 使用 DOILoader（也称为 IDAT Loader 或 HijackLoader）从加密文件中加载 Lumma Stealer，该文件也包含在下载的 ZIP 文件中。 

然后，Lumma Stealer 除了执行窃取活动之外，还下载了三种不同的有效载荷： 

• am.exe – Amadey 加载程序 

• ma.exe – 一个下载程序，用于下载并运行具有特定配置的 XMRig 加密货币挖掘程序 

• cl.exe - 一种剪贴板劫持程序，旨在替换剪贴板中的加密货币地址，其构造目的是使受害者在进行转移时将加密货币转移到威胁行为者控制的地址，而不是预定的地址 

据观察，Amadey 会下载其他有效载荷，例如基于 Go 的恶意软件（据信是 JaskaGO）。这意味着，仅通过运行一个初始 PowerShell 脚本，就可以执行总共五个不同的恶意软件系列。 

ClearFake 攻击链示例。  

ClickFix 的奇怪案例 

2024 年 4 月中旬，研究人员发现受感染的网站包含一个可导致 pley[.]es 上的 iframe 的注入。此 iframe 显示为覆盖错误消息，声称需要修复错误的浏览器更新。研究人员将此活动集群称为 ClickFix。 

2024 年 5 月 11 日的 ClickFix 错误消息。 

错误消息要求受害者打开“Windows PowerShell（管理员）”（这将打开 UAC 提示），然后右键单击粘贴代码。如果这样做，PowerShell 将运行另一个远程 PowerShell 脚本，该脚本将下载并运行可执行文件，最终导致 Vidar Stealer。然而，几天后，在被发现后，PowerShell 中使用的有效负载域被脱机。因此，尽管错误显示在受感染的网站上，但它不会导致感染。 

在这种半功能状态持续了几天之后，即 2024 年 5 月 15 日，iframe 的自定义内容被 ClearFake 注入替换。2024 年 6 月初，它仍在提供这种注入。由于 pley[.]es 域本身似乎已被攻陷，目前尚不清楚这两个活动集（ClearFake 和 ClickFix）是否开始相互协作，或者 ClearFake 参与者是否再次攻陷了 iframe，用自己的内容替换了代码。 

摘自 2024 年 5 月 11 日的自定义 iframe 内容。 

截至 2024 年 6 月 7 日的 iframe 内容。 

TA571 示例 

Proofpoint 于 2024 年 3 月 1 日在一次活动中首次观察到 TA571 使用了这种技术。该活动包含超过 100,000 条消息，针对全球数千个组织。  

TA571 电子邮件诱饵。  

在此次活动中，电子邮件包含一个 HTML 附件，其中显示类似 Microsoft Word 的页面。  

该页面还显示一条错误消息，提示“未安装‘Word Online’扩展”，并提供了两个继续的选项：“如何修复”和“自动修复”。 

HTML 附件包含有关如何复制和粘贴 PowerShell 以安装恶意软件的说明。 

单击“如何修复”按钮会将 base64 编码的 PowerShell 命令复制到计算机的剪贴板，页面上的消息会更改为指示目标打开 PowerShell 终端并右键单击控制台窗口。右键单击终端窗口会粘贴剪贴板的内容并执行 PowerShell。Proofpoint 在这些文件中观察到两个不同的 PowerShell 命令：一个下载并执行 MSI 文件，另一个下载并执行 VBS 脚本。 

如果单击“自动修复”按钮，search-ms 协议会在 Windows 资源管理器中显示类似 WebDAV 托管的“fix.msi”或“fix.vbs”。 

执行时，MSI 使用 LOLBAS 命令“msiexec -z”运行捆绑的 DLL“Inkpad3.dll”。此命令运行 DLL 的 DllUnregisterServer 函数，该函数释放并执行另一个 DLL“Inkpad_honeymoon.msp”。这导致 Matanbuchus 的安装。如果执行 VBS，它会使用 PowerShell 下载并执行 DarkGate。 

Proofpoint 观察到 TA571 在整个春季的活动中使用了类似的攻击链，使用各种视觉诱饵，并指示受害者打开 PowerShell 终端或通过按 Windows 按钮 + R 使用运行对话框。该攻击者还删除了涉及复制/粘贴的措辞，利用受害者不需要知道某些内容已复制到剪贴板这一事实。一些最近的例子： 

2024 年 5 月 27 日，TA571 使用了一个 HTML 附件，该附件似乎显示了托管在 OneDrive 上的文档，并包含一条虚假的错误消息。  

HTML 附件声称是托管在 OneDrive 上的文档，其中包含“如何修复”按钮。  

如果点击“如何修复”按钮，它会将 PowerShell 脚本复制到剪贴板并向用户提供如何运行该脚本的说明。此攻击链最终导致安装 DarkGate 恶意软件。   

TA571 在使用 PowerShell 剪贴板技术的同时，继续修改和更新其诱饵和攻击链。2024 年 5 月 28 日，Proofpoint 发现了一个使用 HTML 附件的 TA571 活动，该附件使用了不同的错误消息。值得注意的是，此活动包括指示受害者单击“修复”按钮以“安装根证书”，这是 ClearFake 错误消息使用的语言。在此活动中，TA571 要求受害者使用“运行”对话框而不是 PowerShell 终端来运行恶意脚本。TA571 活动包含至少两个运行不同 PowerShell 脚本的不同命令行，一个通过下载的 HTA 文件指向 DarkGate，该文件运行另一个 PowerShell 脚本，另一个通过下载的 ZIP 文件指向 NetSupport RAT。 

在大多数活动中，TA571 还用各种随机内容填充 HTML 文件，为附件创建半唯一哈希值。 

包含与 ClearFake 类似语言的新型 TA571 诱饵的示例。 

常见技术 

在所有情况下，无论是通过虚假更新还是 HTML 附件，恶意 PowerShell/CMD 脚本都会通过浏览器端 JavaScript 复制到剪贴板，合法网站上也经常使用这种 JavaScript。恶意内容包含在 HTML/网站的各个位置，并以多种方式编码，例如双 Base64、反向 Base64 甚至各种元素和函数中的明文。合法使用、存储恶意代码的多种方式以及受害者手动运行恶意代码而与文件没有任何直接关联的事实，使得检测此类威胁变得困难。由于防病毒软件和 EDR 在检查剪贴板内容时会遇到问题，因此需要在向受害者呈现恶意 HTML/网站之前进行检测和阻止。  

至于要求受害者通过 PowerShell 终端或通过运行对话框运行恶意代码之间的区别，它们存在各种问题。例如，使用 PowerShell 终端，用户必须执行更多步骤才能打开它。但是，一旦进入终端，只需右键单击一次，代码就会自动粘贴并执行，而无需受害者先查看代码。对于运行对话框，整个过程可以通过四次点击/按钮组合完成：单击按钮，Ctrl+R 打开对话框，Ctrl+V 粘贴代码，然后输入以运行代码。但是，使用这种方法，受害者在看到粘贴的代码时可能会犹豫不决，可能会按取消而不是运行它。 

归因 

TA571 是一个垃圾邮件分发者，该攻击者会发送大量电子邮件活动，为其网络犯罪客户提供和安装各种恶意软件，具体取决于后续运营商的目标。Proofpoint 高度确信 TA571 感染可能导致勒索软件。   

ClearFake 目前尚未被归为受追踪的威胁行为者。  

虽然很明显双方都在互相借鉴想法，但 Proofpoint 并没有以任何其他方式将他们联系起来。 

结论 

此攻击链需要大量用户交互才能成功。虚假错误消息中的社交工程非常巧妙，声称是来自操作系统的权威通知。它还提供了问题和解决方案，以便查看者可以立即采取行动，而无需停下来考虑风险。攻击链是独一无二的，符合 Proofpoint 观察到的总体趋势，即网络犯罪威胁行为者采用新的、多样化且越来越有创意的攻击链 - 包括改进社交工程、嵌套 PowerShell 以及使用 WebDAV 和 SMB - 来实现恶意软件传播。