据网络安全公司Proofpoint称,黑客设计了一种新的欺骗性方法来诱骗用户安装名为 ClickFix 的恶意软件。该计划涉及通过针对 Chrome、OneDrive 和 Microsoft 等流行服务中常见错误的虚假解决方案来诱骗用户。一旦用户通过单击“复制修复”按钮下载并执行这些“修复”,他们就会无意中运行 PowerShell 或 Windows 运行对话命令,从而损害其系统。
此对话会安装一个“根证书”来刷新 DNS 缓存、删除剪贴板内容、显示虚假消息,并安装一个额外的远程 PowerShell 脚本,该脚本在安装信息窃取程序之前执行反虚拟机检查。据称,包括 ClearFake 负责人在内的各种黑客组织都使用了这种方法。 Proofpoint 详细介绍了黑客如何通过将币安智能链合约移交的恶意脚本合并到区块链上来利用受威胁的网站来传播恶意软件并感染易受影响的 Windows 计算机。
该脚本将执行一系列检查,以确定您的计算机是否是可接受的候选者,然后再下载更多有效负载。事情并没有就此结束,因为用户还需要了解基于电子邮件的威胁,该威胁使用看起来像 Word 的 HTML 附件。这些附件将鼓励用户下载“Word Online”扩展程序来查看该文件。
由于需要执行 PowerShell 命令,因此这种其他威胁也具有高水平的用户交互。 Proofpoint 发现了 Matanbuchus、DarkGate、NetSupport、XM Rig、Amadey Loader、剪贴板劫持者和 Lumma Stealer 等有效负载。
尽管这听起来很可怕,但您可以采取多种预防措施来防止成为此类偷偷摸摸的攻击的受害者。其中一种预防措施是使用最好的防病毒程序之一,例如Norton 或 Bitdefender 。请务必小心下载的附件,即使来源可靠。请记住,除非您知道它的作用,否则切勿复制或粘贴任何代码。
通过采取这些预防措施并随时了解最新威胁,您可以增加避免威胁的机会。