HackerNews 编译，转载请注明出处： 一项新的ClickFix社会工程攻击活动正瞄准欧洲的酒店业，利用虚假的Windows蓝屏死机界面诱使用户在其系统上手动编译并执行恶意软件。 蓝屏死机是Windows操作系统遇到致命且无法恢复的错误导致系统停止时显示的崩溃界面。 在12月首次发现、并被Securonix研究人员追踪为”PHALT#BLYX”的新攻击活动中，冒充Booking.com的网络钓鱼邮件引发了一次部署恶意软件的ClickFix社会工程攻击。 ClickFix社会工程攻击是一种设计用于显示错误或问题，然后提供”修复”方案来解决该问题的网页。这些错误可能是虚假的错误消息、安全警告、验证码挑战或更新通知，指示访问者在其计算机上运行命令来解决问题。 受害者最终通过运行攻击者指令中提供的恶意PowerShell或Shell命令而感染自己的机器。 在这项新的ClickFix攻击活动中，攻击者发送冒充酒店客人取消Booking.com预订的网络钓鱼邮件，通常发送给酒店企业。声称的退款金额足够大，足以给邮件接收者制造一种紧迫感。 点击邮件中的链接会将受害者带到一个托管在’low-house[.]com’上的虚假Booking.com网站，Securonix将其描述为真实Booking.com网站的”高保真克隆”。 Securonix报告称：”该页面使用了Booking.com官方品牌元素，包括正确的配色方案、徽标和字体样式。在外行人看来，它与真实网站无法区分。” 该网站托管着恶意JavaScript，向目标显示虚假的”加载时间过长”错误，诱使他们点击按钮刷新页面。 然而，当目标点击该按钮时，浏览器会进入全屏模式并显示虚假的Windows蓝屏死机崩溃界面，从而启动ClickFix社会工程攻击。 该界面提示用户打开Windows”运行”对话框，然后按CTRL+V，这将粘贴已复制到Windows剪贴板的恶意命令。 接着提示用户按键盘上的”确定”按钮或Enter键来执行该命令。 真正的蓝屏死机消息不会提供恢复指令，只会显示错误代码和重启通知，但经验不足的用户或急于解决纠纷的酒店员工可能会忽略这些欺骗迹象。 粘贴提供的命令会运行一条PowerShell命令，该命令会打开一个诱饵性的Booking.com管理员页面。同时，在后台下载一个恶意的.NET项目（v.proj）并使用合法的Windows MSBuild.exe编译器进行编译。 执行时，该有效负载会添加Windows Defender排除项并触发用户账户控制提示以获取管理员权限，然后使用后台智能传输服务下载主要加载器，并通过在启动文件夹中放置.url文件来建立持久性。 该恶意软件是DCRAT，一种远程访问木马，通常被威胁行为者用于远程访问受感染设备。 该恶意软件使用进程空洞技术注入到合法的’aspnet_compiler.exe’进程中，并直接在内存中执行。 首次与命令与控制服务器联系时，恶意软件会发送其完整的系统指纹，然后等待执行命令。 它支持远程桌面功能、键盘记录、反向Shell以及在内存中执行额外有效负载。在Securonix观察到的案例中，攻击者投放了一个加密货币挖矿程序。 随着远程访问的建立，威胁行为者现在在目标网络中获得了立足点，使他们能够传播到其他设备、窃取数据并可能危害其他系统。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）周二警告称，一个被其追踪为 UAC-0173 的有组织犯罪团伙重新活跃，该团伙通过感染计算机部署名为 DCRat（又名 DarkCrystal RAT）的远程访问木马。 乌克兰网络安全机构表示，最新一波攻击始于 2025 年 1 月中旬，目标是乌克兰公证人。 感染链利用声称代表乌克兰司法部发送的网络钓鱼邮件，诱使收件人下载一个可执行文件，该文件一旦启动，就会部署 DCRat 恶意软件。该二进制文件托管在 Cloudflare 的 R2 云存储服务上。 “通过这种方式，攻击者获得了对公证人自动化工作场所的初步访问权限，随后采取措施安装额外工具，特别是 RDPWRAPPER，该工具实现了并行 RDP 会话的功能，结合使用 BORE 工具，允许从互联网直接建立到计算机的 RDP 连接，”CERT-UA 表示。 这些攻击还以使用其他工具和恶意软件家族为特征，如 FIDDLER（用于拦截国家注册表网络界面输入的认证数据）、NMAP（用于网络扫描）和 XWorm（用于窃取敏感数据，如凭据和剪贴板内容）。 此外，受感染的系统被用作发送恶意邮件的渠道，使用 SENDMAIL 控制台工具进一步传播攻击。 这一发展发生在 CERT-UA 将 Sandworm 黑客组织（又名 APT44、Seashell Blizzard 和 UAC-0002）的一个子集群归因于利用微软 Windows 中的一个现已修补的安全漏洞（CVE-2024-38213，CVSS 评分：6.5）后的几天，该漏洞在 2024 年下半年通过带有陷阱的文档被利用。 攻击链被发现执行 PowerShell 命令，负责显示诱饵文件，同时在后台启动其他有效负载，包括 SECONDBEST（又名 EMPIREPAST）、SPARK 和一个名为 CROOKBAG 的 Golang 加载器。 CERT-UA 将此活动归因于 UAC-0212，该活动在 2024 年 7 月至 2025 年 2 月期间针对塞尔维亚、捷克共和国和乌克兰的供应商公司，其中一些攻击记录针对了 20 多家乌克兰企业，这些企业专注于自动化过程控制系统（ACST）、电气工程和货运运输。 这些攻击中的一些已被 StrikeReady Labs 和微软记录，后者将该威胁组织追踪为 BadPilot。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文