Interlock 勒索软件团伙现在使用模仿 IT 工具的 ClickFix 攻击来破坏公司网络并在设备上部署文件加密恶意软件。
ClickFix 是一种社会工程学策略,受害者被诱骗在其系统上执行危险的 PowerShell 命令,以修复错误或验证自己,但最终导致恶意软件的安装。
虽然这并非 ClickFix 首次与勒索软件感染有关,但有关 Interlock 的确认表明,此类威胁行为者利用这种策略的趋势呈上升趋势。
Interlock 是于 2024 年 9 月下旬发起的勒索软件行动,针对 FreeBSD 服务器和 Windows 系统。
Interlock 被认为并非采用“勒索软件即服务”的模式运营。尽管如此,它仍在暗网上维护着一个数据泄露门户网站,向受害者施加压力,索要数十万美元甚至数百万美元不等的赎金。
过去,Interlock 利用虚假浏览器和 VPN 客户端更新来安装恶意软件并破坏网络。
据Sekoia 研究人员称,Interlock 勒索软件团伙于 2025 年 1 月开始利用 ClickFix 攻击。
Interlock 使用至少四个 URL 来托管虚假的 CAPTCHA 提示,这些提示会要求访问者在其计算机上执行命令以验证自己并下载推广的工具。
研究人员表示,他们在四个不同的网站上检测到了恶意验证码,模仿微软或高级 IP 扫描器门户:
-
microsoft-msteams[.]com/additional-check.html
-
microstteams[.]com/additional-check.html
-
ecologilives[.]com/additional-check.html
-
advanceipscaner[.]com/additional-check.html
然而,只有冒充高级 IP 扫描器(IT 人员常用的流行 IP 扫描工具)的网站才会导致下载恶意安装程序。
点击“修复”按钮会将恶意 PowerShell 命令复制到受害者的剪贴板。如果在命令提示符或 Windows 运行对话框中执行,它将下载一个 36MB 的 PyInstaller 有效载荷。
同时,合法的 AdvanceIPScanner 网站会在浏览器窗口中打开,以减少怀疑。
恶意负载会安装其伪装的软件的合法副本,并同时执行在隐藏窗口中运行的嵌入式 PowerShell 脚本。
该脚本在 Windows 注册表中注册一个 Run 键以实现持久性,然后收集和泄露系统信息,包括操作系统版本、用户权限级别、正在运行的进程和可用驱动器。
Sekoia 观察到命令和控制 (C2) 使用各种有效载荷进行响应,包括 LummaStealer、BerserkStealer、键盘记录器和 Interlock RAT。
后者是一个简单的木马,可以动态配置,支持文件泄露、shell命令执行和运行恶意DLL。
在最初的攻击和 RAT 部署之后,Interlock 操作员使用窃取的凭证通过 RDP 横向移动,而 Sekoia 还发现 PuTTY、AnyDesk 和 LogMeIn 被用于一些攻击。
勒索软件执行前的最后一步是数据泄露,将被盗文件上传到攻击者控制的 Azure Blob。
Interlock 的 Windows 版本(通过计划任务)设置为每天晚上 8:00 运行,但由于基于文件扩展名的过滤,这不会导致多层加密,而是作为冗余措施。
Sekoia 还报告称,赎金通知也在不断演变,最新版本更加侧重于数据泄露的法律方面以及被盗数据公开后的监管后果。
ClickFix 攻击现已被众多攻击者采用,其中包括其他勒索软件团伙和朝鲜黑客。
上个月,Sekoia 发现臭名昭著的朝鲜黑客组织 Lazarus 正在使用ClickFix 攻击加密货币行业的求职者。
原文始发于微信公众号(犀牛安全):Interlock 勒索软件团伙在 ClickFix 攻击中推广虚假 IT 工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4109501.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论