HackerNews 编译,转载请注明出处:
一项新的ClickFix社会工程攻击活动正瞄准欧洲的酒店业,利用虚假的Windows蓝屏死机界面诱使用户在其系统上手动编译并执行恶意软件。
蓝屏死机是Windows操作系统遇到致命且无法恢复的错误导致系统停止时显示的崩溃界面。
在12月首次发现、并被Securonix研究人员追踪为”PHALT#BLYX”的新攻击活动中,冒充Booking.com的网络钓鱼邮件引发了一次部署恶意软件的ClickFix社会工程攻击。
ClickFix社会工程攻击是一种设计用于显示错误或问题,然后提供”修复”方案来解决该问题的网页。这些错误可能是虚假的错误消息、安全警告、验证码挑战或更新通知,指示访问者在其计算机上运行命令来解决问题。
受害者最终通过运行攻击者指令中提供的恶意PowerShell或Shell命令而感染自己的机器。
在这项新的ClickFix攻击活动中,攻击者发送冒充酒店客人取消Booking.com预订的网络钓鱼邮件,通常发送给酒店企业。声称的退款金额足够大,足以给邮件接收者制造一种紧迫感。
点击邮件中的链接会将受害者带到一个托管在’low-house[.]com’上的虚假Booking.com网站,Securonix将其描述为真实Booking.com网站的”高保真克隆”。
Securonix报告称:”该页面使用了Booking.com官方品牌元素,包括正确的配色方案、徽标和字体样式。在外行人看来,它与真实网站无法区分。”
该网站托管着恶意JavaScript,向目标显示虚假的”加载时间过长”错误,诱使他们点击按钮刷新页面。
然而,当目标点击该按钮时,浏览器会进入全屏模式并显示虚假的Windows蓝屏死机崩溃界面,从而启动ClickFix社会工程攻击。
该界面提示用户打开Windows”运行”对话框,然后按CTRL+V,这将粘贴已复制到Windows剪贴板的恶意命令。
接着提示用户按键盘上的”确定”按钮或Enter键来执行该命令。
真正的蓝屏死机消息不会提供恢复指令,只会显示错误代码和重启通知,但经验不足的用户或急于解决纠纷的酒店员工可能会忽略这些欺骗迹象。
粘贴提供的命令会运行一条PowerShell命令,该命令会打开一个诱饵性的Booking.com管理员页面。同时,在后台下载一个恶意的.NET项目(v.proj)并使用合法的Windows MSBuild.exe编译器进行编译。
执行时,该有效负载会添加Windows Defender排除项并触发用户账户控制提示以获取管理员权限,然后使用后台智能传输服务下载主要加载器,并通过在启动文件夹中放置.url文件来建立持久性。
该恶意软件是DCRAT,一种远程访问木马,通常被威胁行为者用于远程访问受感染设备。
该恶意软件使用进程空洞技术注入到合法的’aspnet_compiler.exe’进程中,并直接在内存中执行。
首次与命令与控制服务器联系时,恶意软件会发送其完整的系统指纹,然后等待执行命令。
它支持远程桌面功能、键盘记录、反向Shell以及在内存中执行额外有效负载。在Securonix观察到的案例中,攻击者投放了一个加密货币挖矿程序。
随着远程访问的建立,威胁行为者现在在目标网络中获得了立足点,使他们能够传播到其他设备、窃取数据并可能危害其他系统。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文