安全研究人员发现了一种新的网络钓鱼活动,该活动试图诱骗收件人粘贴(CTRL+V)并在其系统上执行恶意命令。它利用复杂的攻击链以及研究人员所称的“粘贴并运行”技术。
“粘贴并运行”网络钓鱼技术
该活动背后的攻击者会向潜在受害者发送电子邮件,声称这些电子邮件来自合法企业或组织。AhnLab 的研究人员表示,这些电子邮件通常涉及费用处理或操作说明等主题,以诱使收件人打开附件。电子邮件中包含带有伪装意图的文件附件,如下例所示。
来源:asec.ahnlab.com
一旦受害者点击 HTML 附件,浏览器中就会显示一条伪装成 Microsoft Word文档的虚假消息。该消息会引导用户点击“如何修复”按钮,该按钮据称可以帮助他们离线加载文档。点击按钮后,一组说明会提示用户输入一组键盘命令 – 首先输入 [Win+R],然后输入 [Ctrl+V],最后按 [Enter]。
来源:asec.ahnlab.com
该按钮可能会加载一组不同的指令,指示用户手动访问 Windows PowerShell 终端并在终端窗口内单击右键。按照这些说明,受害者会无意中将恶意脚本粘贴到终端,然后在其系统中执行。
网络钓鱼计划安装 DarkGate 恶意软件
该方案下载并执行的 PowerShell 脚本是 DarkGate恶意软件家族的一个组件。脚本运行后,会从远程命令和控制服务器下载并执行 HTA(HTML 应用程序)文件。
然后,HTA 文件执行其他指令来启动 AutoIt3.exe 文件,同时传递恶意 AutoIt 脚本 (script.a3x) 作为参数。该脚本似乎会加载 DarkGate 恶意软件来感染系统,同时还会清除用户的剪贴板以隐藏恶意命令的执行。
研究人员指出:“从接收电子邮件到感染的整体操作流程相当复杂,用户很难检测和预防。”
来源:asec.ahnlab.com
防范网络钓鱼活动
研究人员建议电子邮件收件人在处理未经请求的电子邮件时要保持谨慎,即使这些电子邮件看似来自合法来源,也要避免成为网络钓鱼活动的受害者。收件人在核实电子邮件发件人和内容之前,应避免打开附件文件或点击链接。
研究人员强调说:“用户在处理来自未知来源的文件时必须格外小心,尤其是电子邮件的 URL 和附件。”
此外,收件人还应警惕任何提示他们执行命令的消息,因为这是攻击者破坏系统的常用策略。收到此类请求后,建议忽略该电子邮件或将其报告给组织的 IT 安全团队。
研究人员还分享了各种妥协指标 (IOC),例如 Base64 编码的 PowerShell 命令、HTA 文件和 Autoit 脚本、下载 URL、文件签名和与该活动相关的行为指标。
发表评论
您还未登录,请先登录。
登录