威胁行为者使用免费或盗版的商业软件来引诱毫无戒心的用户,以投放名为Hijack Loader的恶意软件加载程序,然后部署名为Vidar Stealer的信息窃取程序。
Trellix 安全研究员 Ale Houspanossian在周一的分析中表示: “攻击者设法诱骗用户下载受密码保护的存档文件,其中包含被木马感染的 Cisco Webex Meetings 应用程序 (ptService.exe) 副本。”
“当毫无戒心的受害者提取并执行‘Setup.exe’二进制文件时,Cisco Webex Meetings 应用程序会秘密加载隐秘的恶意软件加载程序,从而导致执行信息窃取模块。”
起点是一个包含可执行文件名称“Setup.exe”的 RAR 存档文件,但实际上是 Cisco Webex Meetings 的 ptService 模块的副本。
此次攻击活动引人注目的地方是它使用DLL 侧加载技术秘密启动 Hijack Loader(又名 DOILoader 或 IDAT Loader),然后通过 AutoIt 脚本作为管道植入 Vidar Stealer。
Houspanossian 表示:“该恶意软件采用一种已知技术来绕过用户帐户控制 (UAC) 并利用 CMSTPLUA COM 接口进行权限提升。一旦权限提升成功,该恶意软件就会将自身添加到 Windows Defender 的排除列表中,以规避防御。”
攻击链除了使用 Vidar Stealer 从 Web 浏览器中窃取敏感凭证之外,还利用额外的有效载荷在受感染的主机上部署加密货币挖掘器。
此次披露是在 ClearFake 活动激增之后进行的,该活动诱使网站访问者手动执行 PowerShell 脚本来解决所谓的网页查看问题,这是ReliaQuest 上个月底披露的一种技术。
然后,PowerShell 脚本充当 Hijack Loader 的启动板,最终传播Lumma Stealer恶意软件。窃取程序还可以下载另外三个有效载荷,包括 Amadey Loader(启动 XMRig 挖矿程序的下载程序)和clipper 恶意软件(用于将加密交易重新路由到攻击者控制的钱包)。
Proofpoint 研究人员 Tommy Madjar、Dusty Miller 和 Selena Larson表示:“据观察,Amadey 下载了其他有效载荷,例如基于 Go 的恶意软件,据信是JaskaGO 。”
该企业安全公司表示,它还在 2024 年 4 月中旬检测到另一个名为 ClickFix 的活动集群,该集群使用错误的浏览器更新诱饵来诱骗受感染网站的访问者,以便使用类似的机制(包括复制和运行 PowerShell 代码)传播 Vidar Stealer。
另一个在恶意垃圾邮件活动中采用了相同社会工程策略的威胁行为者是 TA571,据观察,它发送带有 HTML 附件的电子邮件,打开后会显示一条错误消息:“您的浏览器中未安装‘Word Online’扩展程序。”
该消息还提供了两个选项:“如何修复”和“自动修复”。如果受害者选择第一个选项,Base64 编码的 PowerShell 命令将被复制到计算机的剪贴板,然后指示启动 PowerShell 终端并右键单击控制台窗口以粘贴剪贴板内容并执行负责运行 MSI 安装程序或 Visual Basic 脚本 (VBS) 的代码。
类似地,最终选择“自动修复”的用户将利用“search-ms:”协议处理程序在 Windows 资源管理器中显示名为“fix.msi”或“fix.vbs”的 WebDAV 托管文件。
无论选择哪种选项,MSI 文件的执行最终都会导致Matanbuchus的安装,而 VBS 文件的执行则会导致DarkGate的部署。
该活动的其他变体还导致了NetSupport RAT的传播,强调了修改和更新诱饵和攻击链的尝试,尽管它们需要用户进行大量交互才能成功。
Proofpoint 表示:“合法使用、存储恶意代码的多种方式以及受害者手动运行恶意代码而与文件没有任何直接关联的事实,使得检测此类威胁变得困难。”
“由于防病毒软件和 EDR 在检查剪贴板内容时会遇到问题,因此需要在恶意 HTML/网站呈现给受害者之前进行检测和阻止。”
与此同时,eSentire 还披露了一项恶意软件活动,该活动利用冒充 Indeed[.]com 的相似网站,通过一份声称提供团队建设想法的诱饵文档投放SolarMarker信息窃取恶意软件。
这家加拿大网络安全公司表示:“SolarMarker 利用搜索引擎优化 (SEO) 投毒技术来操纵搜索引擎结果并提高欺骗性链接的可见性。 ”
“攻击者使用 SEO 策略将用户引导至恶意网站,这凸显了谨慎点击搜索引擎结果的重要性,即使它们看起来是合法的。”
发表评论