虚假的谷歌浏览器错误正诱导用户运行恶意PowerShell脚本
内容提要
Proofpoint的安全研究人员发现黑客组织利用虚假的Chrome浏览器、Word和OneDrive等程序的运行错误来诱导用户安装运行带有恶意PowerShell的修复程序。黑客组织包括ClearFake和TA571。攻击链主要有三种方式,利用用户对PowerShell命令风险认知的匮乏和Windows无法检测和阻止粘贴代码发起的恶意操作。有效载荷包括DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和Lumma Stealer。
关键要点
-
Proofpoint的安全研究人员发现黑客组织利用虚假的Chrome浏览器、Word和OneDrive等程序的运行错误来诱导用户安装恶意PowerShell修复程序。
-
涉及的黑客组织包括ClearFake和TA571,ClearFake利用网站覆盖层提示用户安装虚假浏览器更新,TA571以发送垃圾邮件而闻名。
-
攻击链主要有三种方式,第一种与ClearFake相关,通过币安智能链合约加载恶意脚本,诱导用户安装恶意PowerShell脚本。
-
第二种攻击链使用注入程序创建iframe覆盖虚假Chrome浏览器错误,用户被指示粘贴代码,导致感染。
-
第三种攻击链使用类似Word文档的HTML附件,提示用户安装Word Online扩展,诱导用户粘贴PowerShell命令。
-
攻击者利用目标用户对PowerShell命令风险认知的匮乏,以及Windows无法检测和阻止粘贴代码的恶意操作。
-
观察到的有效载荷包括DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和Lumma Stealer。
延伸问答
黑客是如何利用虚假的Chrome浏览器错误进行攻击的?
黑客通过显示虚假的Chrome浏览器错误,诱导用户安装恶意PowerShell脚本,通常伴随提示用户粘贴代码。
涉及哪些黑客组织在进行这些攻击?
涉及的黑客组织包括ClearFake和TA571。
这些攻击链的主要步骤是什么?
攻击链主要包括诱导用户粘贴恶意PowerShell命令、下载恶意软件和执行反虚拟机检查等步骤。
用户如何被诱导安装恶意软件?
用户被诱导通过虚假的错误提示和安装建议,粘贴恶意代码到PowerShell中,从而安装恶意软件。
这些攻击的有效载荷包括哪些?
观察到的有效载荷包括DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和Lumma Stealer。
攻击者利用了用户对PowerShell命令的哪些认知缺陷?
攻击者利用了用户对PowerShell命令风险认知的匮乏,使得用户容易被诱导执行恶意命令。
