详细内容或原文请订阅后点击阅览
攻击者如何使用真正的 IT 工具来接管您的计算机
我们发现新一波攻击利用合法的远程监控和管理 (RMM) 工具来远程控制受害者的系统。
来源:Malwarebytes Labs 博客新一波攻击正在利用合法的远程监控和管理 (RMM) 工具,例如 LogMeIn Resolve(以前称为 GoToResolve)和 PDQ Connect 来远程控制受害者的系统。攻击者并没有丢弃传统的恶意软件,而是以虚假的借口诱骗人们安装这些可信的 IT 支持程序——将它们伪装成日常实用程序。安装后,该工具使攻击者能够完全远程访问受害者的计算机,从而逃避许多传统的安全检测,因为该软件本身是合法的。
最近,我们注意到遥测中检测名称 RiskWare.MisusedLegit.GoToResolve 有所增加,该名称标记了对合法 GoToResolve/LogMeIn Resolve RMM 工具的可疑使用。
RiskWare.MisusedLegit.GoToResolve我们的数据显示该工具被检测到具有多个不同的文件名。以下是我们遥测数据中的一些示例:
文件名还为我们提供了有关目标如何被诱骗下载该工具的线索。
以下是发送给葡萄牙某人的翻译后的电子邮件示例:
如您所见,将鼠标悬停在链接上会显示它指向上传到 Dropbox 的文件。使用合法的 RMM 工具和合法的域(例如 dropbox[.]com)会使安全软件更难拦截此类电子邮件。
其他研究人员还描述了攻击者如何建立模仿 Notepad++ 和 7-Zip 等流行免费实用程序下载页面的虚假网站。
研究人员单击该恶意链接会提供一个 RMM 安装程序,该安装程序已使用攻击者唯一的“CompanyId”进行了预先配置,这是一种将受害者计算机直接与攻击者控制面板绑定的硬编码标识符。
如何保持安全
通过滥用可信 IT 工具而不是传统恶意软件,攻击者正在提高隐秘性和持久性的标准。对下载源的认识和仔细关注是您最好的防御。