駭客製造假應用程式錯誤訊息引誘用戶上當,執行PowerShell指令碼植入惡意程式
支付動態 · 2024-06-18

應用程式出現的錯誤訊息有可能是駭客的伎倆!研究人員發現,有駭客組織假借Chrome、Word、OneDrive等應用程式出錯的名義,要求使用者依照指示操作,複製並執行PowerShell指令碼「修復」問題,但其實是以此騙術誘使受害者將這些內容帶到電腦上啟動,目的是植入各式惡意程式

這個彈出式對話框列出了詳細的操作步驟,首先他們要求使用者按下複製程式碼的按鈕,然後開啟PowerShell,並在主控臺視窗點選滑鼠右鍵,然後等待指令碼執行完成再重新載入網頁。

然而使用者一旦照做,就會在PowerShell命令列視窗貼上攻擊者的指令碼並執行。他們看到對方清除DNS快取、移除剪貼簿的內容,顯示誘騙訊息,並從遠端取得另一個PowerShell指令碼,在記憶體內執行,而這個指令碼的功能,會確認受害電腦是否是資安人員的測試環境,其方法是檢查電腦是否回傳系統溫度。

若是通過上述檢查,駭客就會利用經過AES編碼的指令碼部署惡意程式,他們藉由惡意程式載入工具IDAT Loader(也叫做HijackLoader、DOILoader),於受害電腦載入竊資軟體Lumma Stealer,之後,還會再部署挖礦軟體、剪貼簿挾持程式,以及另一個惡意程式載入工具Amadey Loader,企圖植入更多惡意軟體。

也有佯稱Word、OneDrive等應用程式出錯的攻擊手法

另一個駭客組織TA571使用的手法略有不同,他們先是寄送帶有HTML附件的電子郵件,一旦收信者開啟附件,電腦就會顯示看起來像是Word操作介面的網頁,並顯示錯誤訊息,宣稱使用者未在瀏覽器安裝Word Online延伸套件,若要離線檢視檔案,必須依照指示操作。

在上述頁面中,對方提供了修復方法(How to fix)、自動修復(Auto-fix)等選項。假如收信人點選修復方法的按鍵,就會將PowerShell指令碼複製到剪貼簿,此時,上述網頁內容就會變換成要求開啟PowerShell,並右鍵點選終端機視窗的指示,對方將會傳送MSI安裝檔或是VBS指令碼,從而於受害電腦部署惡意軟體Matanbuchus、DarkGate。

若是使用者按下了自動修復的按鈕,電腦就會啟動搜尋通訊協定(search-ms),在檔案總管顯示含有前述MSI檔及VBS檔案的WebDAV資料夾。

除了聲稱Word錯誤,研究人員也看到駭客聲稱OneDrive執行錯誤的情況,對方製作類似OneDrive操作介面的網頁,一旦使用者開啟就會出現錯誤訊息,要求依照指示操作,手動更新DNS的快取內容。

研究人員指出,雖然這種攻擊手法過程中需要使用者大量互動,但對方藉由應用程式的錯誤訊息,並提供了「解決方案」,使得用戶很可能降低警覺,依照畫面上的指示解決問題,而落入駭客的圈套。對此,研究人員呼籲企業組織,應在資安意識的訓練中,教育使用者識別這種攻擊手法。

熱門文章
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
英國確認各垂直行業的賭博稅稅率
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
首頁
遊戲
合作
發現
我的