ClickFix 惡意軟體

最近的惡意軟體分發策略採用了類似於 Google Chrome、Microsoft Word 和 OneDrive 錯誤的欺騙性通知。這些虛假警報旨在欺騙用戶執行具有威脅性的 PowerShell“修復”，最終安裝惡意軟體。此活動已被各種威脅行為者識別和使用，包括與 ClearFake、名為 ClickFix 的新組織以及臭名昭著的 TA571 威脅行為者相關的威脅行為者。 TA571 以其垃圾郵件分發者的角色而聞名，負責傳播大量電子郵件，這些電子郵件通常會導致惡意軟體和勒索軟體感染。

先前，ClearFake 攻擊涉及網站覆蓋，透過冒充虛假瀏覽器更新來誘騙訪客安裝惡意軟體。

虛假錯誤警報可能會帶來惡意軟體威脅

在報告的攻擊中，威脅行為者擴展了他們的方法，將 JavaScript 嵌入到 HTML 附件和受感染的網站中。這些策略現在涉及模擬來自 Google Chrome、Microsoft Word 和 OneDrive 的虛假錯誤的覆蓋層。這些欺騙性警報敦促訪客點擊按鈕將 PowerShell「修復」複製到剪貼簿，指示他們在「執行」對話方塊或 PowerShell 提示字元中貼上並執行它。

雖然該攻擊鏈依賴於重要的用戶交互，但其社會工程足夠複雜，可以同時向用戶提供看似真正的問題和解決方案。這可能迫使使用者在沒有充分評估相關風險的情況下倉促採取行動。 Infosec 研究人員已經識別出這些攻擊中使用的多個有效負載，包括DarkGate 、 Matanbuchus 、 NetSupport 、 Amadey Loader 、 XMRig 、剪貼簿劫持者和Lumma Stealer 。

詐騙腳本將惡意軟體植入用戶設備

分析師已經確定了三個不同的攻擊鏈，主要根據其初始階段進行區分，只有第一個攻擊鏈與 TA571 沒有明確關聯。

在第一個場景中，與連接到 ClearFake 的威脅行為者相關，用戶訪問受感染的網站，這些網站透過幣安的智慧鏈合約加載託管在區塊鏈上的惡意腳本。這些腳本會進行檢查並觸發虛假的 Google Chrome 警報，聲稱網頁顯示有問題。然後，該對話方塊會提示訪客透過將 PowerShell 腳本複製到 Windows 剪貼簿並在 Windows PowerShell（管理）控制台中執行來安裝「根憑證」。

執行後，PowerShell 腳本會驗證目標裝置。它繼續執行諸如刷新 DNS 快取、清除剪貼簿內容、顯示幹擾訊息和下載遠端 PowerShell 腳本等操作。反過來，該腳本會在啟動資訊竊取有效負載的下載之前進行反虛擬機器檢查。

ClickFix 和誘餌電子郵件用作替代攻擊鏈

第二個攻擊鏈與「ClickFix」活動相關，利用受感染網站上的網站注入來建立 iframe 覆蓋層，顯示虛假的 Google Chrome 錯誤。使用者被引導開啟「Windows PowerShell（管理員）」並貼上提供的程式碼，從而導致前面提到的相同感染。

另一種感染方法涉及使用類似 Microsoft Word 文件的 HTML 附件進行基於電子郵件的攻擊。系統會提示使用者安裝「Word Online」擴充功能才能正確檢視文件。錯誤訊息提供“如何修復”和“自動修復”選項。選擇「如何修復」會將 Base64 編碼的 PowerShell 命令複製到剪貼簿，指示使用者將其貼上到 PowerShell 中。 「自動修復」採用 search-ms 協定從遠端攻擊者控制的檔案共用中顯示 WebDAV 託管的「fix.msi」或「fix.vbs」檔案。在這些情況下，PowerShell 指令下載並執行 MSI 檔案或 VBS 腳本，分別導致 Matanbuchus 或 DarkGate 感染。

在這些攻擊中，威脅行為者利用使用者缺乏對在其係統上執行 PowerShell 命令相關風險的認識。他們還利用 Windows 無法偵測和防止貼上程式碼觸發的有害操作。

研究人員觀察到的各種攻擊鍊表明 TA571 正在積極探索各種方法來增強功效並發現感染更多系統的其他途徑。這種適應性方法強調了網路犯罪分子致力於發展其策略並擴大其在網路安全領域的影響力。