导语:不同的攻击链都表明 TA571 正在积极尝试多种方法,以提高效率并寻找更多感染途径来入侵更多系统。
一项新的恶意软件分发活动正使用虚假的 Google Chrome、Word 和 OneDrive 错误诱骗用户运行安装恶意软件的恶意 PowerShell“修复程序”。
据观察,这项新活动被多个恶意分子使用,包括 ClearFake 背后的恶意分子、一个名为 ClickFix 的新攻击集群,以及 TA571 威胁者,后者以垃圾邮件分发者的身份运作,发送大量电子邮件,导致恶意软件和勒索软件感染。
此前的 ClearFake 攻击利用网站覆盖层,提示访问者安装虚假的浏览器更新,进而安装恶意软件。
威胁者还在新的攻击中使用 HTML 附件和受感染网站中的 JavaScript。但是,现在覆盖层会显示虚假的 Google Chrome、Microsoft Word 和 OneDrive 错误。这些错误会提示访问者单击按钮将 PowerShell“修复”复制到剪贴板,然后在“运行:”对话框或 PowerShell 提示符中粘贴并运行它。
ProofPoint 的一份新报告称:“尽管攻击链需要大量用户交互才能成功,但社会工程学可以同时向人们呈现看似真实的问题和解决方案,这可能会促使用户在不考虑风险的情况下采取行动。”
Proofpoint 发现的有效载荷包括 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持程序和 Lumma Stealer。
PowerShell“修复”导致恶意软件
Proofpoint 分析师观察到三条攻击链,它们的区别主要在于初始阶段,只有第一条攻击链不能高度可信地归因于 TA571。
在第一个案例中,与 ClearFake 背后的恶意分子有关,用户访问一个受感染的网站,该网站通过币安的智能链合约加载托管在区块链上的恶意脚本。
该脚本执行一些检查并显示虚假的 Google Chrome 警告,指出显示网页时出现问题。然后,对话框提示访问者通过将 PowerShell 脚本复制到 Windows 剪贴板并在 Windows PowerShell(管理)控制台中运行该脚本来安装“根证书”。
伪造的 Google Chrome 错误
当执行 PowerShell 脚本时,它将执行各种步骤来确认设备是有效目标,然后它将下载其他有效负载,如下所述:
·刷新 DNS 缓存;
·删除剪贴板内容;
·显示诱饵消息;
·下载另一个远程 PowerShell 脚本,该脚本在下载信息窃取程序之前执行反虚拟机检查。
“ClearFake”攻击链
第二条攻击链与“ClickFix”活动有关,它在受感染的网站上使用注入,创建一个 iframe 来覆盖另一个虚假的 Google Chrome 错误。用户被指示打开“Windows PowerShell(管理员)”并粘贴提供的代码,从而导致上述相同的感染。
最后,基于电子邮件的感染链使用类似于 Microsoft Word 文档的 HTML 附件,提示用户安装“Word Online”扩展程序才能正确查看文档。
错误消息提供“如何修复”和“自动修复”选项,其中“如何修复”将 base64 编码的 PowerShell 命令复制到剪贴板,指示用户将其粘贴到 PowerShell 中。
“自动修复”使用 search-ms 协议在远程攻击者控制的文件共享上显示 WebDAV 托管的“fix.msi”或“fix.vbs”文件。
伪造的 Microsoft Word 错误会导致恶意软件
在这种情况下,PowerShell 命令会下载并执行 MSI 文件或 VBS 脚本,从而分别导致 Matanbuchus 或 DarkGate 感染。
在所有情况下,恶意分子都利用了目标对在其系统上执行 PowerShell 命令的风险缺乏认识这一事实。他们还利用了 Windows 无法检测和阻止粘贴代码发起的恶意操作这一特点。
不同的攻击链都表明 TA571 正在积极尝试多种方法,以提高效率并寻找更多感染途径来入侵更多系统。
文章翻译自:https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/如若转载,请注明原文地址
