详细内容或原文请订阅后点击阅览
如何使用虚假聚会邀请来安装远程访问工具
伪造的聚会邀请函用于安装远程访问工具,因此犯罪分子就是被邀请的人。
来源:Malwarebytes Labs 博客“邀请您!”
听起来很友好、熟悉而且无害。 但在我们最近发现的一个骗局中,这个简单的短语被用来诱骗受害者在他们的 Windows 计算机上安装完整的远程访问工具,从而使攻击者能够完全控制系统。
看似休闲聚会或活动的邀请会导致 ScreenConnect 的静默安装,这是一种合法的远程支持工具,悄悄地安装在后台并被攻击者滥用。
以下是该骗局的运作方式、其为何有效以及如何保护自己。
电子邮件:聚会邀请
受害者会收到一封带有个人邀请的电子邮件——通常看起来像是来自朋友或熟人。该信息故意是非正式的和社交的,以减少怀疑并鼓励迅速采取行动。
在下面的屏幕截图中,电子邮件来自一位电子邮件帐户被黑客入侵的朋友,但它也可能很容易来自您不认识的发件人。
到目前为止,我们只看到该活动针对英国人,但没有什么可以阻止它在其他地方扩张。
单击电子邮件中的链接会转到托管在攻击者控制的域上的精美邀请页面。
邀请:引导至安装程序的着陆页
着陆页在很大程度上倾向于聚会主题,但该页面没有显示活动详细信息,而是促使用户打开文件。它们本身看起来都没有危险,但它们一起让用户专注于“邀请”文件:
几秒钟内,浏览器将被重定向以下载 RSVPPartyInvitationCard.msi
该页面甚至会自动触发下载,让受害者不假思索地继续前进。
会发生什么: