文/周峻佑 | 2024-08-01發表
假借排除電腦錯誤碼的名義,引誘使用者複製PowerShell命令並執行的攻擊手法,最近有數起資安事故傳出,例如,有人架設冒牌IT技術支援網站而散布竊資軟體Vidar Stealer、也有聲稱應用程式出錯而誘使植入惡意軟體的情況,如今又有類似的網路攻擊出現。
資安業者Trellix揭露針對雲端檔案共享服務OneDrive用戶而來的攻擊行動,駭客先是寄送釣魚郵件,其中內含HTML附件檔,一旦收信人開啟,電腦就會顯示共享PDF檔案Reports.pdf的OneDrive網頁,並彈出Error 0x8004de86錯誤訊息,聲稱無法與OneDrive服務連線,使用者必須手動更新DNS快取來因應。
而這個錯誤訊息提供使用者兩個按鈕,其中一個是修復方法(How to fix),另一個則是詳細資料。
若是點選詳細資料,駭客便會將使用者導向Microsoft Learn的DNS故障排除網頁,但假如使用者點選How to fix按鈕,就會看到「指示」,要求按下特定快速鍵(視窗鍵+X)並執行PowerShell或是終端機,然後在視窗裡先後按下Ctrl+V及Enter。一旦使用者依照指示操作,電腦就會執行以Base64編碼處理過的PowerShell命令。
究竟駭客何時擅自將惡意指令複製到剪貼簿?答案就是使用者按下How to fix之後,會同時觸發HTML檔案內嵌的JavaScript指令碼特定功能函數呼叫。
因此,使用者後續在終端機貼上剪貼簿的內容,就會執行攻擊者下達的惡意命令。駭客會先執行ipconfig /flushdns,然後下載AutoIT執行檔及惡意指令碼,從而在受害電腦部署惡意軟體。此外,上述作業執行完成後,電腦還會顯示操作成功與要求使用者重新載入網頁的訊息,此舉看似正常,使得受害者難察覺有異。
線