网络安全研究人员披露了一场网络钓鱼活动的详细信息,该活动提供了一种名为 MostereRAT 的隐蔽银行恶意软件转变为远程访问木马的木马。
Fortinet FortiGuard Labs 表示,网络钓鱼攻击结合了许多先进的规避技术,可以完全控制受感染的系统,窃取敏感数据,并通过提供辅助插件来扩展其功能。
“其中包括使用简单编程语言 (EPL) 开发分阶段有效负载、隐藏恶意作和禁用安全工具以防止警报触发、使用双向 TLS (mTLS) 保护命令和控制 (C2) 通信、支持部署额外有效负载的各种方法,甚至安装流行的远程访问工具,”Yurren Wan 说。
EPL 是一种晦涩难懂的可视化编程语言,支持繁体中文、简体中文、英文和日文变体。它主要适用于可能不精通英语的用户。
这些电子邮件主要针对日本用户,利用与业务查询相关的诱饵来欺骗收件人点击恶意链接,将他们带到受感染的网站以下载诱杀文档——一个嵌入 ZIP 存档的 Microsoft Word 文件。
ZIP 文件中存在一个可执行文件,该可执行文件又触发 MostereRAT 的执行,然后使用用 EPL 编写的模块删除多个工具,例如 AnyDesk、TigerVNC 和 TightVNC。该恶意软件的一个值得注意的方面是它能够禁用 Windows 安全机制并阻止与硬编码的安全程序列表相关的网络流量,从而使其能够规避检测。
“这种流量拦截技术类似于已知的红队工具’EDRSilencer’,它在网络通信堆栈的多个阶段使用 Windows 过滤平台 (WFP) 过滤器,有效阻止它连接到其服务器并传输检测数据、警报、事件日志或其他遥测数据,”Wan 说。
另一个是它能够作为 TrustedInstaller 运行,TrustedInstaller 是一个具有提升权限的内置 Windows 系统帐户,使其能够干扰关键的 Windows 进程、修改 Windows 注册表项和删除系统文件。
此外,MostereRAT 部署的一个模块配备了监控与千牛(阿里巴巴的卖家工具)相关的前台窗动、记录击键、向外部服务器发送心跳信号以及处理服务器发出的命令。
这些命令允许它收集受害者主机详细信息、运行 DLL、EPK 或 EXE 文件、加载 shellcode、读取/写入/删除文件、使用早鸟注入下载 EXE 并将其注入svchost.exe、枚举用户、捕获屏幕截图、促进 RDP 登录,甚至创建隐藏用户并将其添加到管理员组。
“这些策略显着增加了检测、预防和分析的难度,”Fortinet 说。“除了保持解决方案更新之外,教育用户了解社会工程的危险仍然至关重要。”
ClickFix 又有了新奇的转折
这些发现与另一项活动的出现相吻合,该活动采用“ClickFix 式技术”向搜索 AnyDesk 等工具的用户分发名为 MetaStealer 的商品信息窃取程序。
攻击链涉及在下载所谓的 AnyDesk 安装程序之前提供虚假的 Cloudflare Turnstile 页面,并提示他们单击复选框以完成验证步骤。但是,此作会触发一条弹出消息,要求他们打开 Windows 文件资源管理器。
打开 Windows 文件资源管理器后,隐藏在旋转门验证页面中的 PHP 代码将配置为使用“search-ms:”URI 协议处理程序来显示伪装成托管在攻击者网站上的 PDF 的 Windows 快捷方式 (LNK) 文件。
就 LNK 文件而言,它激活了一系列步骤来收集主机名并运行最终负责删除 MetaStealer 的 MSI 包。
“这些类型的攻击需要受害者进行一定程度的手动交互,因为它们致力于自己’修复’所谓的损坏的进程,部分原因是它们可能会规避安全解决方案,”Huntress 说。“威胁行为者正在继续推动其感染链的发展,给检测和预防带来麻烦。”
这一披露还恰逢 CloudSEK 详细介绍了 ClickFix 社会工程策略的新颖改编,该策略利用不可见的提示,使用基于 CSS 的混淆方法将人工智能系统武器化,并生成包含攻击者控制的 ClickFix 指令的摘要。
概念验证 (PoC) 攻击是通过使用一种称为提示过量的策略来实现的,其中有效负载广泛嵌入到 HTML 内容中,以便它主导大型语言模型的上下文窗口以引导其输出。
该公司表示:“这种方法针对嵌入在电子邮件客户端、浏览器扩展和生产力平台等应用程序中的摘要器。“通过利用用户对人工智能生成的摘要的信任,该方法秘密地提供恶意的分步指令,从而促进勒索软件部署。”
“提示过量是一种纵技术,它用高密度、重复的内容压倒人工智能模型的上下文窗口来控制其输出。通过用攻击者选择的文本使输入饱和,合法的上下文被推到一边,模型的注意力始终被吸引回注入的有效负载上。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
