详细内容或原文请订阅后点击阅览
微软发现 ClickFix 活动让用户在 Windows 终端上进行自我破解
骗子会调整熟悉的复制粘贴诡计,以便受害者自己运行恶意命令长期运行的 ClickFix 骗局的新变化现在是诱骗 Windows 用户启动 Windows 终端并自行将恶意软件粘贴到其中 - 将凭据窃取者 Lumma 信息窃取者交给其浏览器库的密钥。
来源:The Register _恶意软件长期运行的 ClickFix 骗局的新变种现在是诱骗 Windows 用户启动 Windows 终端并自行将恶意软件粘贴到其中 - 将凭据窃取者 Lumma 信息窃取者交给其浏览器库的密钥。
根据 Microsoft Threat Intelligence 的说法,该活动于 2 月份出现,并以一种旨在避开某些现有安全检测的方式对熟悉的 ClickFix 策略进行了调整。传统上,这些诈骗尝试说服受害者使用旧的 Win + R 快捷方式打开 Windows 运行对话框,并粘贴由虚假验证码或故障排除提示提供的命令。这一次,骗子将用户指向略有不同的地方:Windows + X → I 快捷方式,用于启动 Windows 终端。
虽然安全工具已经相当擅长发现从“运行”对话框启动的可疑活动,但 Windows 终端是许多开发人员每天都会打开的合法管理工具。换句话说,它看起来足够正常,可以融入日常系统活动中,这正是攻击者想要的。
骗局本身遵循同样经过考验的社会工程公式。受害者登陆冒充验证提示、验证码检查或故障排除指南的网页。然后,该页面指示他们复制命令,并将其粘贴到 Windows 终端中,通常被视为无害的内容,例如验证连接或修复错误。
受害者实际粘贴的是经过大量编码的 PowerShell 命令,该命令启动了一系列令人惊讶的复杂事件。
第二个感染路径使用类似编码的命令来获取批处理脚本,该脚本会删除 VBScript 文件并使用内置 Windows 实用程序(包括 MSBuild)的组合来执行该脚本。
此时,该脚本会在启动相同的凭证收集例程之前接触加密货币区块链基础设施(这种技巧有时被称为“EtherHiding”)。