吳明宜仰賴惡意瀏覽器擴充程式的 ClickFix 攻擊手法再度進化。資安廠商 Huntress 近日發現一種名為「CrashFix」的新型攻擊模式,該手法會故意觸發瀏覽器安全警示與當機,藉此誘使用戶執行指令,進而安裝惡意程式。
此次攻擊主要透過冒充知名廣告封鎖外掛 uBlock Origin Lite 的惡意擴充程式「NexShield」進行。 NexShield 會顯示虛假的安全警告,謊稱系統存在漏洞,要求不知情的受害者開啟 Windows 的「執行」視窗,並從剪貼簿貼上修補程式指令加以執行。
一如既往的 ClickFix 攻擊模式,NexShield 會預先將 PowerShell 指令悄悄複製到剪貼簿中,並偽裝成修補程式。一旦用戶執行該指令,系統便會下載 ModelRAT 後門程式。
根據研究人員分析,這波攻擊的目標鎖定於已連結網域的主機,攻擊者疑似為去年初才興起的駭客組織 KongTuke,其主要目標針對企業內部網路。
Huntress 解釋,NexShield 的核心功能是引發受害者瀏覽器的阻斷服務 (DoS),並為下一階段的社交工程 CrashFix 鋪路。該擴充程式每次會從 chrome.runtime 通訊埠建立連線,並計畫重複執行 10 億次。這種暴力手法能迅速耗盡系統資源,導致瀏覽器當機崩潰。當使用者重啟瀏覽器後,便會再次觸發 CrashFix 攻擊循環。
為了降低使用者的戒心,NexShield 設定了精密的計時機制:在安裝後 60 分鐘觸發,隨後於 10 分鐘後引發 DoS 攻擊,之後每 10 分鐘重複執行一次,且僅針對已接收其發送使用者 ID(User ID) 的特定目標。
CrashFix 的惡意指令會導致合法的 Windows 公用程式 Finger.exe 執行,並接收遠端系統的使用者資訊。該指令隨後會接收第二階段的惡意程式,從遠端伺服器安裝並執行惡意程式碼,最後在連結網域的主機上安裝完整的 ModelRAT 遠端存取木馬程式。 ModelRAT 具備系統偵查、建立持久存取權限及支援指令執行等能力,並擁有適應性 C&C 信號發送 (beaconing) 、程式碼混淆、雙層加密及反分析等高階功能。
Huntress 指出,這隻惡意程式的重點在於駭入企業環境,以存取 Active Directory 、內部資源和敏感資料,因此 ModelRAT 並不會攻擊一般家庭用戶。 KongTuke 組織的 CrashFix 攻擊顯示駭客在社交工程手法上日新月異,透過冒充受信任的開原軟體 uBlock Origin Lite 造成瀏覽器崩潰,再提供假修補指令,KongTuke 駭客已成功打造一個完整的感染鏈。
來源:SecurityWeek