河北
专家警告称,黑客正将虚假的谷歌会议中断通话作为手段来攻击受害者,试图用恶意软件感染他们,从而获取他们的敏感信息。
网络安全研究人员 Sekoia 的一份报告称,此次活动是此前所观察到的 ClickFix 攻击的新变种。
ClickFix 受害者会看到一个虚假的错误网页(例如,一个浏览器已过时,因此无法打开某个网站),然后会提供一个修复方案(一个“补丁”或“版本升级”)。如果受害者没有识破这个诡计并下载“修复方案”,他们最终会用不同的恶意软件感染他们的终端。
StealC 和 Rhadamanthys
在这一情形下,Sekoia 的研究人员发现了几个假装是 Google Meet 视频会议着陆页面的网站。
打开这些网站的人会看到其麦克风或摄像头出现的错误。所提供的“修复方案”是一段 PowerShell 代码,复制到剪贴板,在 Windows 命令提示符中运行。
此代码最终部署的要么是 StealC 信息窃取程序,要么是 Rhadamanthys 程序。对于同样被列为目标的 macOS 系统,攻击者以名为“Launcher_v194”的.DMG 文件形式投放了 AMOS 窃取程序。
在此次活动中,威胁行为者被称为斯拉夫民族帝国(SNE)和 Scamquerteo,显然分别是名为 Marko Polo 和 CryptoLove 的其他威胁行为者的子群体。
除了 Google Meet 外,Sekoia 发现 Zoom、PDF 阅读器、虚假视频游戏(Lunacy、Calipso、Battleforge、Ragon)、Web3 浏览器和项目(NGT Studio)以及即时通讯应用(Nortex)也因相同目的遭到滥用。
此次攻击极有可能始于一封钓鱼邮件,主要针对运输和物流类公司。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
