详细内容或原文请订阅后点击阅览
伪装成帮助的病毒:数千家容易受骗的公司成为 PowerShell 脚本的受害者
“修复”按钮会让您陷入网络噩梦。
来源:安全实验室新闻频道伪装成帮助的病毒:数千家容易受骗的公司成为 PowerShell 脚本的受害者
“修复”按钮会让您陷入网络噩梦。
网络犯罪分子对全球数千个组织发起了大规模的社会工程攻击。他们最喜欢的策略是以解决所谓的技术问题为幌子,欺骗受害者运行恶意 PowerShell 脚本。
大规模攻击 PowerShell该方案主要用于感染运行Windows的系统。攻击者在 Google Chrome、Microsoft Word 和 OneDrive 等流行程序中使用虚假错误通知。当用户访问被黑客攻击但看似合法的网站时,浏览器中会出现一个窗口,通知他们存在问题。
窗口受害者被要求单击“修复”按钮并将显示的代码粘贴到 PowerShell 终端或 Windows 运行对话框中。
Proofpoint 的研究人员已经识别出至少两个使用这种攻击方法的犯罪团伙。其中之一可能是分发勒索软件。
据 Proofpoint 称,一个名为 TA571 的组织自 3 月 1 日以来一直在使用这种方法,而 ClearFake 活动背后的组织自 4 月初以来一直在使用这种方法。两者在六月初仍然活跃。第三个活动 ClearFix 自 5 月份以来也测试了这种攻击媒介。
在攻击过程中,攻击者将恶意脚本注入合法网站,并通过币安智能链智能合约将其放置在区块链上(这称为 EtherHiding)。然后,该脚本会在受害者的浏览器中加载一个虚假的警告窗口,提示他们安装“根证书”来解决虚构的问题。
该消息包含有关复制 PowerShell 脚本然后在计算机上手动运行它的说明。该程序清除 DNS 缓存、删除剪贴板的内容、显示错误消息,然后下载并运行另一个远程脚本。