最近,研究人员报告了一种新的 ClickFix 攻击活动,主要通过诱骗用户访问显示虚假连接错误的欺诈性 谷歌会议的页面,继而借此传播信息窃取恶意软件,主要针对 Windows 和 macOS 操作系统。
ClickFix是网络安全公司Proofpoint在5月份首次报告的一种社交工程战术,它来自一个威胁行为TA571,该行为者使用了冒充谷歌浏览器、微软Word和OneDrive错误的信息。
这些错误提示受害者将一段 PowerShell 代码复制到剪贴板,在 Windows 命令提示符中运行该代码即可解决问题。
因此,受害者的系统会感染各种恶意软件,如 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和 Lumma Stealer。
今年 7 月,McAfee 报告称,ClickFix 攻击活动变得越来越频繁,尤其是在美国和日本。
SaaS 网络安全提供商 Sekoia 的一份新报告指出,ClickFix 攻击活动现已升级,开始使用谷歌会议引诱、针对运输和物流公司的钓鱼电子邮件、伪造的 Facebook 页面和欺骗性的 GitHub 问题。
ClickFix 发展大事记,资料来源 Sekoia
据这家法国网络安全公司称,最近的一些活动是由两个威胁组织 “斯拉夫民族帝国(SNE)”和 “Scamquerteo ”发起的,它们被认为是加密货币诈骗团伙 “Marko Polo ”和 “CryptoLove ”的分队。
近期活动中使用的各种鱼饵,来源:Sekoia
谷歌会议“陷阱”
谷歌会议是 Google Workspace 套件中的视频通信服务,在企业虚拟会议、网络研讨会和在线协作环境中很受欢迎。
攻击者会向受害者发送看似与工作会议/大会或其他重要活动相关的合法谷歌会议邀请函的电子邮件。
URL 与实际的谷歌会议链接非常相似:
- meet[.]google[.]us-join[.]com
- meet[.]google[.]web-join[.]com
- meet[.]googie[.]com-join[.]us
- meet[.]google[.]cdm-join[.]us
一旦受害者进入这个虚假的页面,他们就会收到一条弹出消息,告知出现了技术问题,如麦克风或耳机问题。
如果他们点击 “尝试修复”,一个标准的 ClickFix 感染过程就会开始,网站复制并粘贴到 Windows 提示符上的 PowerShell 代码会用恶意软件感染他们的计算机,并从 “googiedrivers[.]com ”域获取有效载荷。
在 Windows 上,最终有效载荷是窃取信息的恶意软件 Stealc 或 Rhadamanthys。在 macOS 机器上,威胁行为者将 AMOS 窃取程序作为名为 “Launcher_v194 ”的 .DMG (苹果磁盘映像)文件投放。
除了谷歌会议之外,Sekoia 还发现了其他几个恶意软件分发集群,包括 Zoom、PDF 阅读器、虚假视频游戏(Lunacy、Calipso、Battleforge、Ragon)、web3 浏览器和项目(NGT Studio)以及信使应用程序(Nortex)。