最近,研究人員報(bào)告了一種新的 ClickFix 攻擊活動(dòng),主要通過誘騙用戶訪問顯示虛假連接錯(cuò)誤的欺詐性谷歌會(huì)議的頁面���,繼而借此傳播信息竊取惡意軟件����,主要針對(duì) Windows 和 macOS 操作系統(tǒng)���。
ClickFix是網(wǎng)絡(luò)安全公司Proofpoint在5月份首次報(bào)告的一種社交工程戰(zhàn)術(shù)���,它來自一個(gè)威脅行為TA571,該行為者使用了冒充谷歌瀏覽器�、微軟Word和OneDrive錯(cuò)誤的信息。
這些錯(cuò)誤提示受害者將一段 PowerShell 代碼復(fù)制到剪貼板��,在 Windows 命令提示符中運(yùn)行該代碼即可解決問題�。
因此,受害者的系統(tǒng)會(huì)感染各種惡意軟件����,如 DarkGate�、Matanbuchus��、NetSupport��、Amadey Loader��、XMRig�、剪貼板劫持者和 Lumma Stealer。
今年 7 月����,McAfee 報(bào)告稱,ClickFix 攻擊活動(dòng)變得越來越頻繁����,尤其是在美國和日本。
SaaS 網(wǎng)絡(luò)安全提供商 Sekoia 的一份新報(bào)告指出����,ClickFix 攻擊活動(dòng)現(xiàn)已升級(jí),開始使用谷歌會(huì)議引誘�、針對(duì)運(yùn)輸和物流公司的釣魚電子郵件、偽造的 Facebook 頁面和欺騙性的 GitHub 問題。
ClickFix 發(fā)展大事記�����,資料來源 Sekoia
據(jù)這家法國網(wǎng)絡(luò)安全公司稱�����,最近的一些活動(dòng)是由兩個(gè)威脅組織 “斯拉夫民族帝國(SNE)”和 “Scamquerteo ”發(fā)起的��,它們被認(rèn)為是加密貨幣詐騙團(tuán)伙 “Marko Polo ”和 “CryptoLove ”的分隊(duì)�。
近期活動(dòng)中使用的各種魚餌���,來源:Sekoia
谷歌會(huì)議“陷阱”
谷歌會(huì)議是 Google Workspace 套件中的視頻通信服務(wù)�,在企業(yè)虛擬會(huì)議��、網(wǎng)絡(luò)研討會(huì)和在線協(xié)作環(huán)境中很受歡迎���。
攻擊者會(huì)向受害者發(fā)送看似與工作會(huì)議/大會(huì)或其他重要活動(dòng)相關(guān)的合法谷歌會(huì)議邀請(qǐng)函的電子郵件��。
URL 與實(shí)際的谷歌會(huì)議鏈接非常相似:
meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us
一旦受害者進(jìn)入這個(gè)虛假的頁面�����,他們就會(huì)收到一條彈出消息��,告知出現(xiàn)了技術(shù)問題�,如麥克風(fēng)或耳機(jī)問題。
如果他們點(diǎn)擊 “嘗試修復(fù)”���,一個(gè)標(biāo)準(zhǔn)的 ClickFix 感染過程就會(huì)開始����,網(wǎng)站復(fù)制并粘貼到 Windows 提示符上的 PowerShell 代碼會(huì)用惡意軟件感染他們的計(jì)算機(jī)�,并從 “googiedrivers[.]com ”域獲取有效載荷。
在 Windows 上�,最終有效載荷是竊取信息的惡意軟件 Stealc 或 Rhadamanthys。在 macOS 機(jī)器上�,威脅行為者將 AMOS 竊取程序作為名為 “Launcher_v194 ”的 .DMG (蘋果磁盤映像)文件投放。
除了谷歌會(huì)議之外���,Sekoia 還發(fā)現(xiàn)了其他幾個(gè)惡意軟件分發(fā)集群�����,包括 Zoom�、PDF 閱讀器�、虛假視頻游戲(Lunacy、Calipso、Battleforge�����、Ragon)����、web3 瀏覽器和項(xiàng)目(NGT Studio)以及信使應(yīng)用程序(Nortex)。
參考來源:https://www.bleepingcomputer.com/news/security/fake-google-meet-conference-errors-push-infostealing-malware/
來源: FreeBuf
在線咨詢
在線咨詢
0371-63319761