澳大利亚发出警报:ClickFix 攻击传播 Vidar Stealer 恶意软件
- 浏览次数 72
- 喜欢 0
澳大利亚网络安全中心(ACSC)向各组织发出警报,一场正在进行的恶意软件攻击活动,正利用 ClickFix 社会工程技术来分发 Vidar Stealer 信息窃取恶意软件。
ClickFix 是一种社会工程攻击技术,诱使用户执行恶意命令,通常是通过在被入侵或恶意网站上显示的虚假验证码(CAPTCHA)或浏览器验证提示来实现。
这种攻击通常诱使用户执行 PowerShell 命令,以绕过安全控制并交付恶意软件,通常是信息窃取类恶意软件。
澳大利亚的组织和基础设施实体成为攻击目标,这些攻击涉及被入侵的 WordPress 网站,它们会重定向到恶意有效载荷。
访问这些网站的用户会看到一个虚假的 Cloudflare 验证或验证码提示,指示他们在系统上复制并手动执行一条恶意 PowerShell 命令,这将导致感染 Vidar Stealer。
该机构的公告称:“澳大利亚信号局下属的澳大利亚网络安全中心(ASD 的 ACSC)观察到,与 ClickFix 相关的活动利用 WordPress 托管的基础设施来分发 Vidar Stealer 恶意软件。”
Vidar Stealer 是一个信息窃取恶意软件家族,也是一种 “恶意软件即服务”(MaaS)活动,于 2018 年末出现。
由于其成本效益高、易于部署且具备广泛的数据窃取能力,它逐渐成为网络犯罪分子的常用选择。它的目标是浏览器密码、Cookie、加密货币钱包、自动填充信息以及系统详细信息。
此前已在 ClickFix 攻击中发现它的身影,它还通过 Windows 修复程序、TikTok 视频和 GitHub 进行推广。去年,开发者发布了功能升级的新版本。
ACSC 指出,Vidar 在受感染设备上启动后会删除其可执行文件,然后在系统内存中运行,从而减少取证痕迹。
它通过使用 Telegram 机器人和 Steam 个人资料等公共服务的 “死信投递”(dead - drop)URL 来获取命令控制(C2)地址,这是一种过去广泛使用但至今仍然有效的策略。
ACSC 建议各组织限制 PowerShell 执行,并实施应用程序允许列表,以降低此类攻击带来的风险。
WordPress 网站管理员也被建议为主题和插件应用可用的安全更新,并从平台上删除任何未使用的主题或插件。
ACSC 的安全公告提供了这些攻击的入侵指标(IoCs),使各组织能够建立防御措施或检测入侵行为。