ClickFix 恶意软件

最近的恶意软件分发策略采用了类似于 Google Chrome、Microsoft Word 和 OneDrive 错误的欺骗性通知。这些虚假警报旨在欺骗用户执行威胁性的 PowerShell“修复”，最终安装恶意软件。各种威胁行为者都已识别并使用了此活动，包括与 ClearFake 相关的威胁行为者、一个名为 ClickFix 的新组织以及臭名昭著的 TA571 威胁行为者。TA571 以其垃圾邮件分发者的角色而闻名，负责传播大量电子邮件，这些电子邮件通常会导致恶意软件和勒索软件感染。

此前，ClearFake 攻击涉及网站覆盖，通过伪装成虚假的浏览器更新来诱骗访问者安装恶意软件。

虚假错误警报可能会带来恶意软件威胁

在报告的攻击中，威胁行为者已将攻击方法扩展至嵌入 HTML 附件和受感染网站的 JavaScript。这些策略现在涉及模拟 Google Chrome、Microsoft Word 和 OneDrive 的虚假错误的覆盖。这些欺骗性警报会敦促访问者单击按钮将 PowerShell“修复”复制到剪贴板，指示他们在“运行”对话框或 PowerShell 提示符中粘贴并执行该修复。

虽然此攻击链依赖于大量用户交互，但其社会工程学足够复杂，可以同时向用户展示看似真正的问题和解决方案。这可能会迫使用户在没有充分评估相关风险的情况下匆忙采取行动。信息安全研究人员已经确定了这些攻击中使用的几种有效载荷，包括DarkGate 、 Matanbuchus 、 NetSupport 、 Amadey Loader 、 XMRig 、剪贴板劫持程序和Lumma Stealer 。

欺诈脚本将恶意软件植入用户设备

分析师已确定三条不同的攻击链，主要根据其初始阶段进行区分，其中只有第一条尚未明确与 TA571 相关。

在第一个场景中，与 ClearFake 相关的威胁行为者相关，用户访问受感染的网站，这些网站通过币安的智能链合约加载托管在区块链上的恶意脚本。这些脚本会进行检查并触发虚假的 Google Chrome 警报，声称网页显示存在问题。然后，对话框会提示访问者通过将 PowerShell 脚本复制到 Windows 剪贴板并在 Windows PowerShell（管理）控制台中执行该脚本来安装“根证书”。

执行后，PowerShell 脚本会验证目标设备。它会继续执行诸如刷新 DNS 缓存、清除剪贴板内容、显示干扰消息和下载远程 PowerShell 脚本等操作。然后，该脚本会在启动信息窃取负载的下载之前进行反虚拟机检查。

ClickFix 和诱饵电子邮件被用作替代攻击链

第二条攻击链与“ClickFix”活动有关，利用受感染网站上的网站注入来创建 iframe 覆盖，显示虚假的 Google Chrome 错误。用户被引导打开“Windows PowerShell（管理员）”并粘贴提供的代码，从而导致前面提到的相同感染。

另一种感染方法涉及使用类似于 Microsoft Word 文档的 HTML 附件进行基于电子邮件的攻击。系统会提示用户安装“Word Online”扩展程序才能正确查看文档。错误消息提供了“如何修复”和“自动修复”选项。选择“如何修复”会将 base64 编码的 PowerShell 命令复制到剪贴板，指示用户将其粘贴到 PowerShell 中。“自动修复”使用 search-ms 协议显示来自远程攻击者控制的文件共享的 WebDAV 托管“fix.msi”或“fix.vbs”文件。在这些情况下，PowerShell 命令会下载并执行 MSI 文件或 VBS 脚本，分别导致 Matanbuchus 或 DarkGate 感染。

在这些攻击中，威胁者利用了用户对在其系统上执行 PowerShell 命令的风险缺乏认识的现象。他们还利用了 Windows 无法检测和阻止粘贴代码触发的有害操作这一特点。

研究人员观察到的多种攻击链表明，TA571 正在积极探索各种方法来提高效力，并发现感染更多系统的其他途径。这种自适应方法凸显了网络犯罪分子致力于改进其策略并扩大其在网络安全领域的影响。