虚假的 Google Chrome 错误诱骗用户运行恶意 PowerShell 脚本
2024-6-28 12:0:0 Author: www.4hou.com(查看原文) 阅读量:13 收藏

胡金鱼 技术 刚刚发布

1540

收藏

导语:不同的攻击链都表明 TA571 正在积极尝试多种方法,以提高效率并寻找更多感染途径来入侵更多系统。

一项新的恶意软件分发活动正使用虚假的 Google Chrome、Word 和 OneDrive 错误诱骗用户运行安装恶意软件的恶意 PowerShell“修复程序”。

据观察,这项新活动被多个恶意分子使用,包括 ClearFake 背后的恶意分子、一个名为 ClickFix 的新攻击集群,以及 TA571 威胁者,后者以垃圾邮件分发者的身份运作,发送大量电子邮件,导致恶意软件和勒索软件感染。

此前的 ClearFake 攻击利用网站覆盖层,提示访问者安装虚假的浏览器更新,进而安装恶意软件。

威胁者还在新的攻击中使用 HTML 附件和受感染网站中的 JavaScript。但是,现在覆盖层会显示虚假的 Google Chrome、Microsoft Word 和 OneDrive 错误。这些错误会提示访问者单击按钮将 PowerShell“修复”复制到剪贴板,然后在“运行:”对话框或 PowerShell 提示符中粘贴并运行它。

ProofPoint 的一份新报告称:“尽管攻击链需要大量用户交互才能成功,但社会工程学可以同时向人们呈现看似真实的问题和解决方案,这可能会促使用户在不考虑风险的情况下采取行动。”

Proofpoint 发现的有效载荷包括 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持程序和 Lumma Stealer。

PowerShell“修复”导致恶意软件

Proofpoint 分析师观察到三条攻击链,它们的区别主要在于初始阶段,只有第一条攻击链不能高度可信地归因于 TA571。

在第一个案例中,与 ClearFake 背后的恶意分子有关,用户访问一个受感染的网站,该网站通过币安的智能链合约加载托管在区块链上的恶意脚本。

该脚本执行一些检查并显示虚假的 Google Chrome 警告,指出显示网页时出现问题。然后,对话框提示访问者通过将 PowerShell 脚本复制到 Windows 剪贴板并在 Windows PowerShell(管理)控制台中运行该脚本来安装“根证书”。

clickfix.webp.png

伪造的 Google Chrome 错误

当执行 PowerShell 脚本时,它将执行各种步骤来确认设备是有效目标,然后它将下载其他有效负载,如下所述:

·刷新 DNS 缓存;

·删除剪贴板内容;

·显示诱饵消息;

·下载另一个远程 PowerShell 脚本,该脚本在下载信息窃取程序之前执行反虚拟机检查。

chain.webp.png

“ClearFake”攻击链

第二条攻击链与“ClickFix”活动有关,它在受感染的网站上使用注入,创建一个 iframe 来覆盖另一个虚假的 Google Chrome 错误。用户被指示打开“Windows PowerShell(管理员)”并粘贴提供的代码,从而导致上述相同的感染。

最后,基于电子邮件的感染链使用类似于 Microsoft Word 文档的 HTML 附件,提示用户安装“Word Online”扩展程序才能正确查看文档。

错误消息提供“如何修复”和“自动修复”选项,其中“如何修复”将 base64 编码的 PowerShell 命令复制到剪贴板,指示用户将其粘贴到 PowerShell 中。

“自动修复”使用 search-ms 协议在远程攻击者控制的文件共享上显示 WebDAV 托管的“fix.msi”或“fix.vbs”文件。

doc.webp.png

伪造的 Microsoft Word 错误会导致恶意软件

在这种情况下,PowerShell 命令会下载并执行 MSI 文件或 VBS 脚本,从而分别导致 Matanbuchus 或 DarkGate 感染。

在所有情况下,恶意分子都利用了目标对在其系统上执行 PowerShell 命令的风险缺乏认识这一事实。他们还利用了 Windows 无法检测和阻止粘贴代码发起的恶意操作这一特点。

不同的攻击链都表明 TA571 正在积极尝试多种方法,以提高效率并寻找更多感染途径来入侵更多系统。

文章翻译自:https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/qpw0
如有侵权请联系:admin#unsafe.sh