详细内容或原文请订阅后点击阅览
Microsoft 针对基于 DNS 的 ClickFix 变体通过 nslookup 传播恶意软件发出警报
微软警告称,新的 ClickFix 变体会诱骗用户运行 DNS 命令,通过 nslookup 获取恶意软件。微软发布了一个新的 ClickFix 变体,该变体欺骗用户通过 Windows 运行对话框运行恶意 nslookup 命令,以通过 DNS 检索第二阶段有效负载。 ClickFix 通常使用假验证码或错误消息 [...]
来源:Security Affairs _恶意软件Microsoft 针对基于 DNS 的 ClickFix 变体通过 nslookup 传播恶意软件发出警报
微软警告称,新的 ClickFix 变体会诱骗用户运行 DNS 命令,通过 nslookup 获取恶意软件。
微软公布了一个新的 ClickFix 变种,该变种欺骗用户通过 Windows 运行对话框运行恶意 nslookup 命令,以通过 DNS 检索第二阶段有效负载。ClickFix 通常使用虚假的验证码或错误消息来诱骗受害者感染自己的系统,帮助攻击者逃避安全防御。在过去的两年里,该技术已经发展成为多种变体。
“Microsoft Defender 研究人员观察到攻击者使用另一种规避 ClickFix 技术的方法:要求目标运行命令,执行自定义 DNS 查找并解析“Name:”响应以接收下一阶段的有效负载以供执行。”微软在 X 上写道。
在最新的 ClickFix 变体中,攻击者使用 cmd.exe 对硬编码的外部服务器执行 DNS 查找。 Name:response 被提取并作为第二阶段有效负载执行。这种基于 DNS 的方法使攻击者可以通过自己的基础设施发出信号并传递有效负载,从而减少对 Web 请求的依赖,并帮助恶意活动融入正常的网络流量。
微软警告说,这个新的 ClickFix 变体使用 DNS 作为“轻量级暂存或信号通道”,允许攻击者访问自己的基础设施并在运行第二阶段有效负载之前添加验证步骤。此方法减少了对 Web 请求的依赖,并有助于隐藏正常网络流量中的恶意活动。有效负载从外部服务器下载 ZIP,提取 Python 脚本以进行侦察,并释放启动 ModeloRAT(一种基于 Python 的 RAT)的 VBScript。
攻击者通过在启动文件夹中创建 Windows 快捷方式来实现持久性,确保恶意软件在每次系统启动时运行。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼