虚假的谷歌浏览器错误正诱导用户运行恶意PowerShell脚本
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Proofpoint的安全研究人员发现黑客组织利用虚假的Chrome浏览器、Word和OneDrive等程序的运行错误来诱导用户安装运行带有恶意PowerShell的修复程序。黑客组织包括ClearFake和TA571。攻击链主要有三种方式,利用用户对PowerShell命令风险认知的匮乏和Windows无法检测和阻止粘贴代码发起的恶意操作。有效载荷包括DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和Lumma Stealer。
🎯
关键要点
- Proofpoint的安全研究人员发现黑客组织利用虚假的Chrome浏览器、Word和OneDrive等程序的运行错误来诱导用户安装恶意PowerShell修复程序。
- 涉及的黑客组织包括ClearFake和TA571,ClearFake利用网站覆盖层提示用户安装虚假浏览器更新,TA571以发送垃圾邮件而闻名。
- 攻击链主要有三种方式,第一种与ClearFake相关,通过币安智能链合约加载恶意脚本,诱导用户安装恶意PowerShell脚本。
- 第二种攻击链使用注入程序创建iframe覆盖虚假Chrome浏览器错误,用户被指示粘贴代码,导致感染。
- 第三种攻击链使用类似Word文档的HTML附件,提示用户安装Word Online扩展,诱导用户粘贴PowerShell命令。
- 攻击者利用目标用户对PowerShell命令风险认知的匮乏,以及Windows无法检测和阻止粘贴代码的恶意操作。
- 观察到的有效载荷包括DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和Lumma Stealer。
🏷️
标签
➡️
