DarkGate :通过钓鱼电子邮件诱骗用户Ctrl+v恶意命令

阅读量64457

发布时间 : 2024-06-07 10:43:13

安全研究人员发现了一种新的网络钓鱼活动,该活动试图诱骗收件人粘贴(CTRL+V)并在其系统上执行恶意命令。它利用复杂的攻击链以及研究人员所称的“粘贴并运行”技术。

“粘贴并运行”网络钓鱼技术
该活动背后的攻击者会向潜在受害者发送电子邮件,声称这些电子邮件来自合法企业或组织。AhnLab 的研究人员表示,这些电子邮件通常涉及费用处理或操作说明等主题,以诱使收件人打开附件。电子邮件中包含带有伪装意图的文件附件,如下例所示。

网络钓鱼 Ctrl+V 电子邮件 网络安全_3 (网络钓鱼 Ctrl+V 电子邮件 网络安全)
来源:asec.ahnlab.com
一旦受害者点击 HTML 附件,浏览器中就会显示一条伪装成 Microsoft Word文档的虚假消息。该消息会引导用户点击“如何修复”按钮,该按钮据称可以帮助他们离线加载文档。点击按钮后,一组说明会提示用户输入一组键盘命令 – 首先输入 [Win+R],然后输入 [Ctrl+V],最后按 [Enter]。

网络钓鱼网络安全
来源:asec.ahnlab.com
该按钮可能会加载一组不同的指令,指示用户手动访问 Windows PowerShell 终端并在终端窗口内单击右键。按照这些说明,受害者会无意中将恶意脚本粘贴到终端,然后在其系统中执行。

网络钓鱼计划安装 DarkGate 恶意软件
该方案下载并执行的 PowerShell 脚本是 DarkGate恶意软件家族的一个组件。脚本运行后,会从远程命令和控制服务器下载并执行 HTA(HTML 应用程序)文件。

然后,HTA 文件执行其他指令来启动 AutoIt3.exe 文件,同时传递恶意 AutoIt 脚本 (script.a3x) 作为参数。该脚本似乎会加载 DarkGate 恶意软件来感染系统,同时还会清除用户的剪贴板以隐藏恶意命令的执行。

研究人员指出:“从接收电子邮件到感染的整体操作流程相当复杂,用户很难检测和预防。”

电子邮件钓鱼 Ctrl+ V
来源:asec.ahnlab.com
防范网络钓鱼活动
研究人员建议电子邮件收件人在处理未经请求的电子邮件时要保持谨慎,即使这些电子邮件看似来自合法来源,也要避免成为网络钓鱼活动的受害者。收件人在核实电子邮件发件人和内容之前,应避免打开附件文件或点击链接。

研究人员强调说:“用户在处理来自未知来源的文件时必须格外小心,尤其是电子邮件的 URL 和附件。”

此外,收件人还应警惕任何提示他们执行命令的消息,因为这是攻击者破坏系统的常用策略。收到此类请求后,建议忽略该电子邮件或将其报告给组织的 IT 安全团队。

研究人员还分享了各种妥协指标 (IOC),例如 Base64 编码的 PowerShell 命令、HTA 文件和 Autoit 脚本、下载 URL、文件签名和与该活动相关的行为指标。

本文转载自:

如若转载,请注明出处: https://thecyberexpress.com/researchers-caution-against-phishing-paste/

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66