.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
一項新的惡意軟件分發活動正使用虛假的Google Chrome、Word 和OneDrive 錯誤誘騙用戶運行安裝惡意軟件的惡意PowerShell“修復程序”。
據觀察,這項新活動被多個惡意分子使用,包括ClearFake 背後的惡意分子、一個名為ClickFix 的新攻擊集群,以及TA571 威脅者,後者以垃圾郵件分發者的身份運作,發送大量電子郵件,導致惡意軟件和勒索軟件感染。
此前的ClearFake 攻擊利用網站覆蓋層,提示訪問者安裝虛假的瀏覽器更新,進而安裝惡意軟件。
威脅者還在新的攻擊中使用HTML 附件和受感染網站中的JavaScript。但是,現在覆蓋層會顯示虛假的Google Chrome、Microsoft Word 和OneDrive 錯誤。這些錯誤會提示訪問者單擊按鈕將PowerShell“修復”複製到剪貼板,然後在“運行:”對話框或PowerShell 提示符中粘貼並運行它。
ProofPoint 的一份新報告稱:“儘管攻擊鏈需要大量用戶交互才能成功,但社會工程學可以同時向人們呈現看似真實的問題和解決方案,這可能會促使用戶在不考慮風險的情況下採取行動。”
Proofpoint 發現的有效載荷包括DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪貼板劫持程序和Lumma Stealer。
PowerShell“修復”導致惡意軟件Proofpoint 分析師觀察到三條攻擊鏈,它們的區別主要在於初始階段,只有第一條攻擊鏈不能高度可信地歸因於TA571。
在第一個案例中,與ClearFake 背後的惡意分子有關,用戶訪問一個受感染的網站,該網站通過幣安的智能鏈合約加載託管在區塊鏈上的惡意腳本。
該腳本執行一些檢查並顯示虛假的Google Chrome 警告,指出顯示網頁時出現問題。然後,對話框提示訪問者通過將PowerShell 腳本複製到Windows 剪貼板並在Windows PowerShell(管理)控制台中運行該腳本來安裝“根證書”。
偽造的Google Chrome 錯誤
當執行PowerShell 腳本時,它將執行各種步驟來確認設備是有效目標,然後它將下載其他有效負載,如下所述:
马云惹不起马云刷新DNS 緩存;
马云惹不起马云刪除剪貼板內容;
马云惹不起马云顯示誘餌消息;
马云惹不起马云下載另一個遠程PowerShell 腳本,該腳本在下載信息竊取程序之前執行反虛擬機檢查。
“ClearFake”攻擊鏈
第二條攻擊鏈與“ClickFix”活動有關,它在受感染的網站上使用注入,創建一個iframe 來覆蓋另一個虛假的Google Chrome 錯誤。用戶被指示打開“Windows PowerShell(管理員)”並粘貼提供的代碼,從而導致上述相同的感染。
最後,基於電子郵件的感染鏈使用類似於Microsoft Word 文檔的HTML 附件,提示用戶安裝“Word Online”擴展程序才能正確查看文檔。
錯誤消息提供“如何修復”和“自動修復”選項,其中“如何修復”將base64 編碼的PowerShell 命令複製到剪貼板,指示用戶將其粘貼到PowerShell 中。
“自動修復”使用search-ms 協議在遠程攻擊者控制的文件共享上顯示WebDAV 託管的“fix.msi”或“fix.vbs”文件。
偽造的Microsoft Word 錯誤會導致惡意軟件
在這種情況下,PowerShell 命令會下載並執行MSI 文件或VBS 腳本,從而分別導致Matanbuchus 或DarkGate 感染。
在所有情況下,惡意分子都利用了目標對在其係統上執行PowerShell 命令的風險缺乏認識這一事實。他們還利用了Windows 無法檢測和阻止粘貼代碼發起的惡意操作這一特點。
不同的攻擊鏈都表明TA571 正在積極嘗試多種方法,以提高效率並尋找更多感染途徑來入侵更多系統。