據(jù)BleepingComputer消息，Proofpoint的安全研究人員近期注意到有多個黑客組織正利用虛假的谷歌 Chrome瀏覽器、Word 和 OneDrive 等程序的運行錯誤來誘導(dǎo)用戶安裝運行帶有惡意 PowerShell的修復(fù)程序。

據(jù)觀察，這些黑客組織包括 ClearFake和TA571， ClearFake曾利用網(wǎng)站覆蓋層，提示訪問者安裝帶有惡意軟件的虛假瀏覽器更新，而TA571以發(fā)送大量電子郵件的垃圾郵件分發(fā)商而聞名。

Proofpoint觀察到三個攻擊鏈，這些攻擊鏈主要在初始階段存在差異。第一種情況與 ClearFake 相關(guān)，當(dāng) Chrome 用戶訪問一個受感染的網(wǎng)站時，會通過幣安的智能鏈合約加載托管在區(qū)塊鏈上的惡意腳本。

此腳本會顯示虛假的 Google警告，指出顯示網(wǎng)頁時出現(xiàn)問題，并提示訪問者安裝“根證書”，將惡意 PowerShell 腳本復(fù)制到 Windows 剪貼板并在 Windows PowerShell（管理）控制臺中運行。

虛假的谷歌瀏覽器錯誤

PowerShell 腳本將執(zhí)行各種步驟來確認設(shè)備是有效目標，然后下載其他有效負載，包括刷新 DNS 緩存、刪除剪貼板內(nèi)容、顯示誘餌消息、下載另一個遠程 PowerShell 腳本并在下載信息竊取程序之前執(zhí)行反 VM 檢查。

第二個攻擊鏈是在被攻擊的網(wǎng)站上使用注入程序，創(chuàng)建一個 iframe 來覆蓋另一個虛假的 Chrome 瀏覽器錯誤。用戶被指示打開 "Windows PowerShell（管理員）"并粘貼所提供的代碼，從而導(dǎo)致上述相同的感染。

第三個攻擊鏈使用類似 Word 文檔的 HTML 附件，提示用戶安裝 "Word Online "擴展來正確查看文檔，所彈出的提示提供了 "如何修復(fù) "和 "自動修復(fù) "選項，其中 "如何修復(fù) "會將一個 base64 編碼的 PowerShell 命令復(fù)制到剪貼板，指示用戶將其粘貼到 PowerShell 中。

虛假的 Word 提示

“自動修復(fù) "使用 search-ms 協(xié)議在遠程攻擊者控制的文件共享上顯示 WebDAV 托管的 "fix.msi "或 "fix.vbs "文件。

在這種情況下，PowerShell 命令下載并執(zhí)行 MSI 文件或 VBS 腳本，分別導(dǎo)致 Matanbuchus 或 DarkGate 感染。以上三種攻擊連都是攻擊者利用了目標用戶對其系統(tǒng)上執(zhí)行 PowerShell 命令風(fēng)險認知的匱乏，他們還利用  Windows 無法檢測和阻止粘貼代碼發(fā)起的惡意操作。Proofpoint 指出，他們觀察到的有效載荷已包括 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪貼板劫持者和 Lumma Stealer。這些攻擊雖然需要大量交互，但每一步操作看起來都足夠以假亂真。