详细内容或原文请订阅后点击阅览
在新的 DarkGate 活动中,ClickFix 与传统下载
社会工程方法正在接受传播恶意软件的测试。
来源:Malwarebytes Labs 博客在过去的几个月中,有许多恶意软件活动使用一种称为“ clickfix”的技术。它通常由假验证码或类似的流量验证页面组成,其中指示访问者粘贴和执行代码以继续进行。
我们也开始通过恶意Google广告看到越来越多的ClickFix攻击。这与受害者下载所谓的包含恶意软件的所谓安装程序的典型网络钓鱼页面相反。
在针对概念品牌的最近发生的恶意广告活动中,我们观察到了游戏中使用的这两种技术。威胁参与者很有可能会收集指标,以确定两者中的哪一个通过恶意软件安装给了他们最多的转换。
此博客文章详细介绍了此广告系列,该活动最终提供了Darkgate恶意软件加载程序。
darkgate概述
网络流量视图
交付#1:通过“ ClickFix”
恶意广告和社会工程
威胁参与者为流行的公用事业应用程序概念创建了Google广告。我们第一次单击广告时,我们被重定向到一个网站,显示一个“验证您是人类”页面,也称为Cloudflare旋转门。除了这不是真正的Cloudflare,而只是社会工程技巧。
Cloudflare旋转门HTML源代码被混淆,仅显示出透明的俄罗斯评论,我们后来确定这是rot13,是字母替代密码。这很可能被用来隐藏有问题的代码,从撬动的眼睛和网络规则中隐藏:
选中了框以验证我们是人类的框后,我们看到了新的说明,即“验证步骤”,其中涉及按下许多键组合。 Windows + R启动“运行”对话框,而CTRL + V将粘贴剪贴板中的任何内容。据说该代码是验证过程的一部分,但是在按Enter下方时,受害者将运行恶意命令:
Windows + R ctrl + vPowerShell和有效载荷
复制到剪贴板的代码实际上是运行PowerShell的命令行: