详细内容或原文请订阅后点击阅览
一点击这个假冒的 Google Meet 更新即可让攻击者控制您的 PC
我们发现了一个虚假的 Google Meet 更新,该更新会将受害者的 Windows PC 注册到攻击者的设备管理系统中。
来源:Malwarebytes Labs 博客伪装成 Google Meet 更新通知的网络钓鱼页面会悄悄地将受害者的 Windows 计算机交给攻击者控制的管理服务器。没有密码被盗,没有文件被下载,也没有明显的危险信号。
只需单击一个令人信服的 Google Meet 虚假更新提示,即可将您的 Windows PC 注册到攻击者控制的设备管理系统中。
“要继续使用 Meet,请安装最新版本”
社会工程几乎简单得令人尴尬:以正确的品牌颜色显示应用程序更新通知。
该页面很好地模拟了 Google Meet,足以让您不经意地浏览一眼。但“立即更新”按钮及其下面的“了解更多”链接都与 Google 相差甚远。
两者都使用 ms-device-enrollment:URI 方案触发 Windows 深层链接。这是 Windows 中内置的处理程序,IT 管理员可以向员工发送一键式设备注册链接。攻击者只是将其指向他们自己的服务器。
“注册”对您的机器实际意味着什么
当访问者单击时,Windows 会绕过浏览器并打开其本机“设置工作或学校帐户”对话框。这与公司 IT 团队配置新笔记本电脑时出现的提示相同。
URI 已预先填充:用户名字段为 collinsmckleen@sunlife-finance.com(冒充永明金融的域名),服务器字段已指向攻击者的端点 tnrmuv-api.esper[.]cloud。
攻击者并不是试图完美地冒充受害者的身份。目标只是让用户单击受信任的 Windows 注册工作流程,无论表单中出现谁的名字,该工作流程都会授予设备控制权。 像这样的活动很少指望每个人都会为之倾倒。即使大多数人停止,一小部分人继续下去也足以使攻击成功。
单击“下一步”并继续执行向导的受害者会将其计算机交给他们从未听说过的 MDM(移动设备管理)服务器。