黑定制造假应用程序错误消息引诱用户上当，执行恶意程序

安全企业Proofpoint披露新形态的社交工程攻击手法，黑客组织ClearFake、TA571声称Chrome、Word、OneDrive等应用程序出错为由，引诱用户依照指示，复制、粘贴并执行PowerShell脚本，从而导致计算机感染恶意软件。下面由无心号小苏带大家了解具体情况。

研究人员从今年3月、4月，以及6月初，看到上述两组人马运用相关手法从事攻击行动，但无法确认这些黑客是否有所关联。

其中，专门以浏览器更新为幌子发动攻击的黑客组织ClearFake，他们主要锁定的目标是特定网站用户，黑客先是攻击网站植入恶意内容，一旦用户浏览这些网站，计算机就有可能加载来自币安智能链（Binance Smart Chain，BSC）的恶意脚本，而该脚本又会从另一个域名加载第2个脚本，其功能是借由名为Keitaro的流量引导系统（TDS）过滤目标用户。

研究人员指出，上述黑客利用区块链隐匿作案工具的手法，他们称为EtherHiding。

若是目标用户仍持续浏览受害网站，他们就会看到黑客设置的“错误消息”，宣称用户必须依照指示安装根凭证，才能正常浏览网站。

这个弹出式对话框列出了详细的操作步骤，首先他们要求用户按下复制程序代码的按钮，然后打开PowerShell，并在主控台窗口点击鼠标右键，然后等待脚本执行完成再重新加载网页。

然而用户一旦照做，就会在PowerShell命令行窗口粘贴攻击者的脚本并执行。他们看到对方清除DNS缓存、移除剪贴板的内容，显示诱骗消息，并从远程取得另一个PowerShell脚本，在内存内执行，而这个脚本的功能，会确认受害计算机是否是安全人员的测试环境，其方法是检查计算机是否回传系统温度。

若是通过上述检查，黑客就会利用经过AES编码的脚本部署恶意程序，他们借由恶意程序加载工具IDAT Loader（也叫做HijackLoader、DOILoader），于受害计算机加载盗取信息软件Lumma Stealer，之后，还会再部署挖矿软件、剪贴板劫持程序，以及另一个恶意程序加载工具Amadey Loader，企图植入更多恶意软件。

另一个黑客组织TA571使用的手法略有不同，他们先是发送带有HTML附件的电子邮件，一旦收信者打开附件，计算机就会显示看起来像是Word操作界面的网页，并显示错误消息，宣称用户未在浏览器安装Word Online延伸组件，若要脱机查看文件，必须依照指示操作。

在上述页面中，对方提供了修复方法（How to fix）、自动修复（Auto-fix）等选项。假如收信人点击修复方法的按钮，就会将PowerShell脚本复制到剪贴板，此时，上述网页内容就会变换成要求打开PowerShell，并右键点击终端机窗口的指示，对方将会发送MSI安装文件或是VBS脚本，从而于受害计算机部署恶意软件Matanbuchus、DarkGate。

若是用户按下了自动修复的按钮，计算机就会启动搜索通信协议（search-ms），在文件总管显示含有前述MSI文件及VBS文件的WebDAV文件夹。

除了声称Word错误，研究人员也看到黑客声称OneDrive执行错误的情况，对方制作类似OneDrive操作界面的网页，一旦用户打开就会出现错误消息，要求依照指示操作，手动更新DNS的缓存内容。

研究人员指出，虽然这种攻击手法过程中需要用户大量互动，但对方借由应用程序的错误消息，并提供了“解决方案”，使得用户很可能降低警觉，依照画面上的指示解决问题，而落入黑客的圈套。对此，研究人员呼吁企业组织，应在安全意识的训练中，教育用户识别这种攻击手法。