最近，研究人員報(bào)告了一種新的 ClickFix 攻擊活動(dòng)，主要通過(guò)誘騙用戶訪問(wèn)顯示虛假連接錯(cuò)誤的欺詐性 谷歌會(huì)議的頁(yè)面，繼而借此傳播信息竊取惡意軟件，主要針對(duì) Windows 和 macOS 操作系統(tǒng)。

ClickFix是網(wǎng)絡(luò)安全公司Proofpoint在5月份首次報(bào)告的一種社交工程戰(zhàn)術(shù)，它來(lái)自一個(gè)威脅行為TA571，該行為者使用了冒充谷歌瀏覽器、微軟Word和OneDrive錯(cuò)誤的信息。

這些錯(cuò)誤提示受害者將一段 PowerShell 代碼復(fù)制到剪貼板，在 Windows 命令提示符中運(yùn)行該代碼即可解決問(wèn)題。

因此，受害者的系統(tǒng)會(huì)感染各種惡意軟件，如 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪貼板劫持者和 Lumma Stealer。

今年 7 月，McAfee 報(bào)告稱，ClickFix 攻擊活動(dòng)變得越來(lái)越頻繁，尤其是在美國(guó)和日本。

SaaS 網(wǎng)絡(luò)安全提供商 Sekoia 的一份新報(bào)告指出，ClickFix 攻擊活動(dòng)現(xiàn)已升級(jí)，開(kāi)始使用谷歌會(huì)議引誘、針對(duì)運(yùn)輸和物流公司的釣魚電子郵件、偽造的 Facebook 頁(yè)面和欺騙性的 GitHub 問(wèn)題。

ClickFix 發(fā)展大事記，資料來(lái)源 Sekoia

據(jù)這家法國(guó)網(wǎng)絡(luò)安全公司稱，最近的一些活動(dòng)是由兩個(gè)威脅組織 “斯拉夫民族帝國(guó)（SNE）”和 “Scamquerteo ”發(fā)起的，它們被認(rèn)為是加密貨幣詐騙團(tuán)伙 “Marko Polo ”和 “CryptoLove ”的分隊(duì)。

近期活動(dòng)中使用的各種魚餌，來(lái)源：Sekoia

谷歌會(huì)議“陷阱”

谷歌會(huì)議是 Google Workspace 套件中的視頻通信服務(wù)，在企業(yè)虛擬會(huì)議、網(wǎng)絡(luò)研討會(huì)和在線協(xié)作環(huán)境中很受歡迎。

攻擊者會(huì)向受害者發(fā)送看似與工作會(huì)議/大會(huì)或其他重要活動(dòng)相關(guān)的合法谷歌會(huì)議邀請(qǐng)函的電子郵件。

URL 與實(shí)際的谷歌會(huì)議鏈接非常相似：

• meet[.]google[.]us-join[.]com
• meet[.]google[.]web-join[.]com
• meet[.]googie[.]com-join[.]us
• meet[.]google[.]cdm-join[.]us

一旦受害者進(jìn)入這個(gè)虛假的頁(yè)面，他們就會(huì)收到一條彈出消息，告知出現(xiàn)了技術(shù)問(wèn)題，如麥克風(fēng)或耳機(jī)問(wèn)題。

如果他們點(diǎn)擊 “嘗試修復(fù)”，一個(gè)標(biāo)準(zhǔn)的 ClickFix 感染過(guò)程就會(huì)開(kāi)始，網(wǎng)站復(fù)制并粘貼到 Windows 提示符上的 PowerShell 代碼會(huì)用惡意軟件感染他們的計(jì)算機(jī)，并從 “googiedrivers[.]com ”域獲取有效載荷。

在 Windows 上，最終有效載荷是竊取信息的惡意軟件 Stealc 或 Rhadamanthys。在 macOS 機(jī)器上，威脅行為者將 AMOS 竊取程序作為名為 “Launcher_v194 ”的 .DMG （蘋果磁盤映像）文件投放。

除了谷歌會(huì)議之外，Sekoia 還發(fā)現(xiàn)了其他幾個(gè)惡意軟件分發(fā)集群，包括 Zoom、PDF 閱讀器、虛假視頻游戲（Lunacy、Calipso、Battleforge、Ragon）、web3 瀏覽器和項(xiàng)目（NGT Studio）以及信使應(yīng)用程序（Nortex）。