Nep Chromefouten misleiden u tot het uitvoeren van kwaadaardige PowerShellscript

Started by Rudy, Jun 18, 2024, 10:31 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions

Rudy

Jun 18, 2024, 10:31 PM


Een nieuwe malwarecampagne maakt gebruik van nep Google Chrome, Word en OneDrive foutmeldingen om gebruikers te misleiden om kwaadaardige PowerShell "oplossingen" uit te voeren die malware installeren.

Deze campagne wordt gebruikt door meerdere dreigingsactoren, waaronder ClearFake, een nieuwe aanvalsgroep genaamd ClickFix, en TA571, bekend als een spamdistributeur die grote hoeveelheden e-mails verstuurt die leiden tot malware- en ransomware-infecties.

Eerdere ClearFake-aanvallen gebruiken website-overlays die bezoekers aansporen een nep-browserupdate te installeren die malware bevat. In de nieuwe aanvallen gebruiken dreigingsactoren ook JavaScript in HTML-bijlagen en gecompromitteerde websites. De overlays tonen nu nep foutmeldingen van Google Chrome, Microsoft Word en OneDrive.

Deze foutmeldingen vragen de bezoeker om op een knop te klikken om een PowerShell "oplossing" naar het klembord te kopiëren en deze vervolgens uit te voeren in een dialoogvenster of PowerShell prompt.

Volgens een nieuw rapport van ProofPoint is de sociale engineering slim genoeg om een gebruiker te misleiden om actie te ondernemen zonder het risico te overwegen.

Proofpoint heeft verschillende payloads waargenomen, waaronder DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, een klembord-kaper en Lumma Stealer.

De eerste aanvalsketen, geassocieerd met ClearFake, laat gebruikers een gecompromitteerde website bezoeken die een kwaadaardig script laadt via Binance's Smart Chain contracten. Dit script toont een nep Google Chrome waarschuwing en vraagt de gebruiker om een PowerShell script uit te voeren.

De tweede aanvalsketen, geassocieerd met de 'ClickFix' campagne, gebruikt injecties op gecompromitteerde websites om een iframe te creëren dat een nep Google Chrome foutmelding toont. Gebruikers worden geïnstrueerd om een PowerShell script uit te voeren.

De derde aanvalsketen maakt gebruik van e-mailbijlagen die lijken op Microsoft Word documenten en gebruikers aansporen om een PowerShell script uit te voeren. Dit leidt tot Matanbuchus of DarkGate infecties.

In alle gevallen profiteren de dreigingsactoren van het gebrek aan bewustzijn van hun doelwitten over de risico's van het uitvoeren van PowerShell commando's en de onmacht van Windows om de kwaadaardige acties te detecteren en te blokkeren.

bleepingcomputer.com
Een goed debat is geen gevecht, maar een dans van ideeën. Respect voor elkaars mening is de melodie die het ritme bepaalt.
Print
Go Up Pages1
User actions