威胁行为者近期升级了一项名为”ClickFix”的新型社会工程攻击活动。攻击者通过在遭入侵或被克隆的网站中植入虚假验证码(CAPTCHA)弹窗,诱骗用户通过剪贴板注入和Windows运行对话框滥用等方式触发恶意软件。
从验证码到Lumma窃密程序的感染链条示例 | 图片来源:SentinelOne
SentinelOne最新报告揭示了这项欺骗性技术在过去一年的演变过程——攻击者利用用户对反垃圾邮件机制的疲劳心理,巧妙结合合法的Windows工具来投放Lumma窃密程序和NetSupport RAT等恶意负载。
研究人员指出:”受害者被社会工程手段诱导解决恶意挑战,导致PowerShell代码执行并加载后续攻击载荷。”
Part01
攻击流程详解
攻击始于受害者在遭入侵网站、虚假登录门户、钓鱼邮件或社交媒体链接中遇到的看似无害的验证码弹窗。受害者被引导完成一系列看似熟悉的操作(验证人类身份、解决拼图等),最终却触发恶意行为。
导致命令执行的恶意验证码挑战 | 图片来源:SentinelOne
报告指出:”受害者被要求解决验证码,然后将剪贴板中的隐藏内容粘贴到Windows’运行’对话框。”植入的脚本会将恶意PowerShell或mshta命令复制到剪贴板,当这些命令被粘贴到运行对话框并执行时,就会连接命令控制服务器下载恶意软件。
Part02
技术特征
ClickFix高度依赖受信任的系统二进制文件(LOLBins)来绕过传统防御,攻击者通常使用以下工具:
-
PowerShell:用于执行编码后的攻击载荷
-
mshta.exe:加载恶意HTA内容
-
certutil.exe:解码或下载二进制文件
SentinelOne特别指出:”certutil.exe经常与PowerShell命令或脚本结合使用。”
Part03
关联恶意软件
ClickFix活动与多个臭名昭著的恶意软件家族存在关联:
-
Lumma Stealer:专门窃取浏览器数据、凭证和加密货币钱包的信息窃取程序
-
NetSupport RAT:被滥用于获取完整系统访问权限的合法远程管理工具
-
SectopRAT:能够启动隐藏第二桌面进行浏览器操作的隐蔽远程访问工具
报告强调:”最常观察到的攻击载荷会导致下载并启动各种信息窃取木马和远程访问工具。”
Part04
攻击特点
ClickFix的独特之处在于其简单性——不需要零日漏洞利用或隐藏iframe,仅凭一个逼真的虚假验证码和愿意将命令粘贴到Windows的用户就能完成攻击。
SentinelOne警告称:”ClickFix利用了用户对反垃圾邮件机制的疲劳心理,这种诱骗受害者自行感染的方式已被证明非常有效。”
文章来源:freebuf
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
暂无评论内容