ClickFix攻击活动升级:可通过虚假谷歌会议画面传播恶意软件
2024-10-18 09:40:20 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1729215679_6711bcbf7f3bf967b05bc.png!small?1729215680613

最近,研究人员报告了一种新的 ClickFix 攻击活动,主要通过诱骗用户访问显示虚假连接错误的欺诈性 谷歌会议的页面,继而借此传播信息窃取恶意软件,主要针对 Windows 和 macOS 操作系统。

ClickFix是网络安全公司Proofpoint在5月份首次报告的一种社交工程战术,它来自一个威胁行为TA571,该行为者使用了冒充谷歌浏览器、微软Word和OneDrive错误的信息。

这些错误提示受害者将一段 PowerShell 代码复制到剪贴板,在 Windows 命令提示符中运行该代码即可解决问题。

1729215695_6711bccfafc3eef268763.png!small?1729215696778

因此,受害者的系统会感染各种恶意软件,如 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和 Lumma Stealer。

今年 7 月,McAfee 报告称,ClickFix 攻击活动变得越来越频繁,尤其是在美国和日本。

SaaS 网络安全提供商 Sekoia 的一份新报告指出,ClickFix 攻击活动现已升级,开始使用谷歌会议引诱、针对运输和物流公司的钓鱼电子邮件、伪造的 Facebook 页面和欺骗性的 GitHub 问题。

1729215709_6711bcdd165baac468ead.png!small?1729215711032

ClickFix 发展大事记,资料来源 Sekoia

据这家法国网络安全公司称,最近的一些活动是由两个威胁组织 “斯拉夫民族帝国(SNE)”和 “Scamquerteo ”发起的,它们被认为是加密货币诈骗团伙 “Marko Polo ”和 “CryptoLove ”的分队。

1729215738_6711bcfa923d7a9fea9e2.png!small?1729215739721

近期活动中使用的各种鱼饵,来源:Sekoia

谷歌会议“陷阱”

谷歌会议是 Google Workspace 套件中的视频通信服务,在企业虚拟会议、网络研讨会和在线协作环境中很受欢迎。

攻击者会向受害者发送看似与工作会议/大会或其他重要活动相关的合法谷歌会议邀请函的电子邮件。

URL 与实际的谷歌会议链接非常相似:

  • meet[.]google[.]us-join[.]com
  • meet[.]google[.]web-join[.]com
  • meet[.]googie[.]com-join[.]us
  • meet[.]google[.]cdm-join[.]us

一旦受害者进入这个虚假的页面,他们就会收到一条弹出消息,告知出现了技术问题,如麦克风或耳机问题。

如果他们点击 “尝试修复”,一个标准的 ClickFix 感染过程就会开始,网站复制并粘贴到 Windows 提示符上的 PowerShell 代码会用恶意软件感染他们的计算机,并从 “googiedrivers[.]com ”域获取有效载荷。

在 Windows 上,最终有效载荷是窃取信息的恶意软件 Stealc 或 Rhadamanthys。在 macOS 机器上,威胁行为者将 AMOS 窃取程序作为名为 “Launcher_v194 ”的 .DMG (苹果磁盘映像)文件投放。

除了谷歌会议之外,Sekoia 还发现了其他几个恶意软件分发集群,包括 Zoom、PDF 阅读器、虚假视频游戏(Lunacy、Calipso、Battleforge、Ragon)、web3 浏览器和项目(NGT Studio)以及信使应用程序(Nortex)。

参考来源:Fake Google Meet conference errors push infostealing malware (bleepingcomputer.com)

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/413123.html
如有侵权请联系:admin#unsafe.sh