吳明宜研究人員發現,有駭客利用假的 Google Chrome 、 Word 和 OneDrive 錯誤訊息,誘騙用戶點入「修復」,進而執行 PowerShell 程式碼而遭植入惡意程式。
最新攻擊行動是安全廠商 ProofPoint 發現,背後主謀是多個以垃圾郵件對用戶電腦感染勒索軟體與其他惡意程式的駭客組織,包括 ClearkFake 、 TA571 與新發現的組織 ClickFix 。
ClearFake 之前已多次利用假的瀏覽器覆蓋 (overlay) 手法,誘騙用戶安裝假的瀏覽器更新植入惡意程式,或是發送電子郵件 HTML 附件以執行惡意 JavaScript 。最新一波攻擊則是使用假的 Google Chrome 、 Microsoft Word 、 OneDrive 的錯誤提示。
攻擊者手法包括透過社交工程散佈郵件 HTML 附檔,或在網站注入程式碼顯示覆蓋提示。這些提示視窗告知用戶出現錯誤,像是無法正常顯示網頁,要求用戶複製 PowerShell 某段「修復」指令再貼入 Windows 剪貼簿,最後再貼入 PowerShell 的「Run:」提示指令視窗以修復錯誤。這個指令宣稱要安裝根憑證,以便解決問題。
一旦用戶執行上述動作,將從代管在加密貨幣交換平台 Binance 智慧鏈 (Smart Chain) 合約的網站,下載惡意程式。 Proofpoint 分析,植入的惡意程式包括竊密程式 DarkGate 、 Matanbuchus 、 NetSupport 、 Amadey Loader 、採礦軟體 XMRig 、 Lumma Stealer 及一個剪貼簿劫持軟體。
研究人員表示,表面上看似錯誤訊息和解決方案,誘騙一時不察或欠缺辨識能力的用戶採取行動。此外駭客也利用 Windows 無法偵測和封鎖貼上的程式碼這點得逞。
研究人員說,這些多元管道的攻擊型態顯示攻擊者積極實驗多種方法強化行動效率,以進行更大規模系統攻擊。