Microsoft揭露了一场正在进行的网络钓鱼活动,该活动通过使用一种日益流行的名为 “ClickFix” 的社会工程学技术,冒充在线旅行社Booking.com,以向酒店业投放窃取凭证的恶意软件。
这家科技巨头表示,这一活动始于 2024 年 12 月,其最终目的是实施金融诈骗和盗窃。Microsoft将这一活动追踪代号命名为 “Storm-1865”。
Microsoft在与《The Hacker News》分享的一份报告中称:“这次网络钓鱼攻击专门针对北美、大洋洲、南亚和东南亚,以及欧洲北部、南部、东部和西部的酒店业机构人员,这些人最有可能与Booking.com合作。攻击者发送的虚假电子邮件伪装成来自Booking.com。”
近几个月来,ClickFix 技术愈发普遍,因为它诱骗用户在看似修复一个所谓(实际上并不存在)的错误的幌子下,通过复制、粘贴和执行欺骗性指令来激活恶意软件,从而启动感染过程。该技术于 2023 年 10 月首次在现实中被检测到。
攻击流程始于 “Storm-1865” 向目标个人发送一封恶意邮件,邮件内容是关于一位所谓的客人在Booking.com上留下的差评,并要求目标人员给出 “反馈”。邮件中还嵌入了一个链接,或者是一个 PDF 附件,附件中包含一个链接,表面上看是将收件人引导至Booking.com的预订页面。
然而,实际上,点击链接会将受害者引导至一个虚假的验证码(CAPTCHA)验证页面,这个页面覆盖在一个 “巧妙伪装的背景上,这个背景模仿了正规的Booking.com页面”。这样做的目的是给受害者一种虚假的安全感,从而增加成功入侵的可能性。
Microsoft表示:“虚假的验证码页面正是网页使用 ClickFix 社会工程学技术下载恶意有效载荷的地方。这种技术指示用户使用键盘快捷键打开 Windows 的运行窗口,然后粘贴并执行网页添加到剪贴板的一个命令。”
简而言之,该命令利用合法的 mshta.exe 二进制文件来释放下一阶段的有效载荷,其中包括各种常见的恶意软件家族,如 XWorm、Lumma 窃取器、VenomRAT、AsyncRAT、Danabot 和 NetSupport RAT。
Microsoft表示,此前曾观察到 “Storm-1865” 通过网络钓鱼信息针对使用电子商务平台的买家,这些信息会将用户引导至欺诈性的支付网页。因此,ClickFix 技术的运用表明了一种战术上的演变,旨在绕过针对网络钓鱼和恶意软件的传统安全措施。
Microsoft还称:“Microsoft追踪到的名为‘Storm-1865’的威胁行为者涵盖了一系列开展网络钓鱼活动的行为,这些活动导致支付数据被盗和欺诈性收费。”“至少从 2023 年初开始,这些活动就一直在持续,且规模不断扩大,涉及通过供应商平台(如在线旅行社和电子商务平台)以及电子邮件服务(如 Gmail 或 iCloud 邮件)发送的信息。”
Group-IB在今天发布的一份独立报告中指出:“值得注意的是,这种方法利用了人类的行为特点:通过为一个看似存在的问题提供一个看似合理的‘解决方案’,攻击者将执行恶意操作的责任转移到了用户身上,有效地避开了许多自动化的防御措施。”
这家新加坡网络安全公司记录的一次此类活动涉及利用 ClickFix 技术投放一个名为 SMOKESABER 的下载器,该下载器随后成为了传播 Lumma 窃取器的渠道。其他活动则利用恶意广告、搜索引擎优化投毒、GitHub 问题,以及在论坛或社交媒体网站上发布指向 ClickFix 页面的垃圾链接。
Group-IB表示:“ClickFix 技术标志着对抗性社会工程学策略的一种演变,它利用用户的信任和浏览器功能来部署恶意软件。网络犯罪分子和高级持续性威胁(APT)组织迅速采用这种方法,凸显了其有效性和较低的技术门槛。”
以下是一些已被记录在案的其他 ClickFix 活动:
1.使用虚假的验证码验证来启动一个多阶段的 PowerShell 执行过程,最终投放诸如 Lumma 和 Vidar 等信息窃取器。
2.被称为 “Blind Eagle” 的威胁行为者使用虚假的谷歌 reCAPTCHA 验证挑战来部署恶意软件。
3.使用虚假的预订确认链接将用户重定向到验证码验证页面,进而传播 Lumma 窃取器。
4.使用虚假的 Windows 主题网站将用户重定向到验证码验证页面,从而传播 Lumma 窃取器。
另一个活动的发现进一步体现了 Lumma 窃取器多样的感染机制。在这个活动中,攻击者使用虚假的 GitHub 存储库,这些存储库包含人工智能(AI)生成的内容,通过一个名为 SmartLoader 的加载器来传播 Lumma 窃取器。
Trend Micro在本周早些时候发布的一份分析报告中称:“这些恶意存储库伪装成非恶意工具,包括游戏作弊器、破解软件和加密货币实用工具。该活动以提供免费或非法的未经授权功能为诱饵吸引受害者,诱使他们下载 ZIP 文件(例如 Release.zip、Software.zip)。”
这次行动凸显了威胁行为者是如何滥用与 GitHub 等流行平台相关的信任来传播恶意软件的。
与此同时,Trustwave 公司详细介绍了一场电子邮件网络钓鱼活动,该活动利用与发票相关的诱饵来分发另一种名为 StrelaStealer 的信息窃取恶意软件的更新版本。据评估,该恶意软件由一个被称为 “Hive0145” 的单一威胁行为者操控。
该公司表示:“StrelaStealer 样本包含自定义的多层混淆和代码流扁平化处理,使其分析变得更加复杂。据报道,该威胁行为者可能开发了一种名为‘Stellar loader’的专门加密器,专门用于配合 StrelaStealer 使用。”
发表评论
您还未登录,请先登录。
登录