ClickFix攻击利用伪造的Windows蓝屏死机界面传播恶意软件
ClickFix攻击利用伪造的Windows蓝屏死机界面传播恶意软件
作者
04:16 PM
一场针对欧洲酒店业的新型ClickFix社会工程攻击正在活跃,攻击者通过伪造Windows蓝屏死机(BSOD)界面,诱骗用户在其系统上手动编译并执行恶意软件。
蓝屏死机是Windows操作系统遇到致命且无法恢复的错误时显示的崩溃界面。
这场最早于12月被发现、被Securonix研究人员追踪命名为"PHALT#BLYX"的新攻击活动中,冒充Booking.com的网络钓鱼邮件最终导向了部署恶意软件的ClickFix社会工程攻击。
ClickFix攻击伪造蓝屏死机崩溃界面
ClickFix社会工程攻击通过设计展示错误或问题的网页,随后提供"修复方案"来解决该问题。这些错误可能是伪造的错误消息、安全警告、验证码挑战或更新通知,指示访问者在计算机上运行命令以解决问题。
受害者最终会按照攻击者指示运行恶意的PowerShell或Shell命令,从而感染自己的设备。
在此次新的ClickFix攻击活动中,攻击者发送冒充酒店客人取消Booking.com预订的钓鱼邮件,通常针对酒店企业。邮件中声明的退款金额足以给收件人制造紧迫感。
伪造的Booking.com预订取消提醒
来源:Securonix
点击邮件中的链接会将受害者导向托管在'low-house[.]com'的虚假Booking.com网站,Securonix将其描述为真实Booking.com网站的"高保真克隆版"。
"该页面使用官方Booking.com品牌元素,包括正确的配色方案、标识和字体样式。对于未经训练的用户而言,它与合法网站无法区分,"
Securonix报告指出
。
Booking.com克隆网站上的虚假错误信息
来源:Securonix
然而当目标点击按钮时,浏览器会进入全屏模式并显示伪造的Windows蓝屏死机崩溃界面,从而启动ClickFix社会工程攻击。
受害者浏览器上显示的ClickFix蓝屏死机界面
来源:Securonix
该界面提示用户打开Windows运行对话框,然后按CTRL+V粘贴已复制到Windows剪贴板的恶意命令。
随后系统会提示用户点击确定按钮或按键盘回车键执行该命令。
真实的蓝屏死机消息不会提供恢复指导,仅显示错误代码和重启提示,但缺乏经验的用户或在解决纠纷压力下的酒店工作人员可能会忽略这些欺诈迹象。
恶意软件(staxs.exe)是DCRAT远程访问木马,威胁行为者常用此工具远程访问受感染设备。
该恶意软件通过进程镂空技术注入到合法的'aspnet_compiler.exe'进程中,并直接在内存中执行。
首次连接命令与控制(C2)服务器时,恶意软件会发送完整的系统指纹信息,随后等待执行命令。
它支持远程桌面功能、键盘记录、反向Shell以及额外载荷的内存执行。在Securonix观察到的案例中,攻击者部署了加密货币挖矿程序。
建立远程访问后,威胁行为者便在目标网络中建立了立足点,从而能够扩散到其他设备、窃取数据并可能危害其他系统。