详细内容或原文请订阅后点击阅览
ClickFix 将 nslookup 命令添加到其用于下载 RAT 的库中
Microsoft 研究人员发现了一个 ClickFix 活动,该活动使用 nslookup 工具让用户使用远程访问特洛伊木马感染自己的系统。
来源:Malwarebytes Labs 博客ClickFix 恶意软件活动旨在欺骗受害者感染自己的计算机。
显然,这些活动背后的犯罪分子已经发现 mshta 和 Powershell 命令越来越多地被安全软件阻止,因此他们开发了一种使用 nslookup 的新方法。
初始阶段与我们之前看到的几乎相同:伪造验证码指令来证明您不是机器人,解决不存在的计算机问题或更新,导致浏览器崩溃,甚至还有指令视频。
这个想法是让受害者运行恶意命令来感染自己的机器。恶意命令通常会被复制到受害者的剪贴板,并附有将其复制到 Windows 运行对话框或 Mac 终端的说明。
Nslookup 是一个使用互联网“电话簿”的内置工具,犯罪分子基本上是在滥用该电话簿来走私指令和恶意软件,而不仅仅是获取地址。
它的存在是为了解决网络问题、检查 DNS 是否配置正确以及调查奇怪的域,而不是为了下载或运行程序。但犯罪分子将服务器配置为使用精心设计的数据进行回复,因此“答案”的一部分实际上是另一个命令或指向恶意软件的指针,而不仅仅是普通的 IP 地址。
Microsoft 提供了以下恶意命令示例:
这些命令启动从外部服务器下载 ZIP 存档的感染链。它从该存档中提取一个恶意 Python 脚本,该脚本运行例程来进行侦察、运行发现命令,并最终删除一个 Visual Basic 脚本,该脚本会删除并执行 ModeloRAT。
ModeloRAT 是一种基于 Python 的远程访问木马 (RAT),可让攻击者对受感染的 Windows 计算机进行实际控制。
如何保持安全
随着 ClickFix 的猖獗(而且看起来不会很快消失),提高警惕、小心谨慎并加以保护非常重要。
我们不仅仅报告威胁,我们还帮助保护您的整个数字身份