駭客佯稱應用程式錯誤,指示使用者依照指示操作,從而複製、貼上惡意PowerShell指令碼並執行的攻擊手法,上個月有研究人員揭露駭客組織ClearFake、TA571發動相關攻擊行動,如今有人架設假的知識庫網站,目標顯然是那些會上網搜尋電腦更新錯誤問題解法的使用者,從事類似的攻擊行為。

資安業者eSentire揭露一起散布竊資軟體Vidar Stealer的攻擊行動,但這起攻擊行動的特別之處在於,攻擊者架設名為PCHelper Wizards的知識庫網站,聲稱能協助使用者修正Windows安裝更新產生的錯誤,然而一旦照做,執行對方提供的PowerShell指令碼,電腦就會下載惡意程式載入工具Hijack Loader(IDAT Loader),並注入netsh.exe處理程序執行,最終植入竊資軟體。

在其中一起攻擊行動裡,對方號稱提供Windows更新過程出現0x80070643錯誤碼的解決方法。這是今年1月微軟例行更新(Patch Tuesady)當中,針對Windows 10使用者發布KB5034441更新,修補BitLocker安全功能繞過漏洞CVE-2024-20666,有部分使用者在安裝的過程出現上述錯誤代碼

在駭客架設的網站中,提供了詳細的操作步驟,要使用者依照指示複製PowerShell指令碼,並打開電腦的終端機,點選滑鼠右鍵貼上、執行,使用者為了解決電腦出現的錯誤訊息,很有可能就會照著操作,而不慎在電腦執行駭客的惡意指令碼。

研究人員解析對方提供的PowerShell指令碼,其內容經過Base64編碼處理,一旦執行,就會先下載特定的ZIP壓縮檔到電腦的暫存資料夾,然後使用URL產生POST請求,研究人員推測,這麼做的目的,很可能是用來向C2伺服器回報下載已經完成。

接著,該指令碼解開ZIP檔並執行內含的惡意酬載,完成後又解碼另一組Base64字串,得到另一個URL並發出POST請求,向攻擊者回傳已感染成功的訊息。

值得留意的是,這些駭客也上傳教學影片來試圖散布PowerShell指令碼。研究人員在調查的過程發現,有一支YouTube影片與之有關,其中內含來自機器人的評論,聲稱影片提供的方法確實有效。

熱門新聞

Advertisement