最近，研究人員報(bào)告了一種新的 ClickFix 攻擊活動，主要通過誘騙用戶訪問顯示虛假連接錯(cuò)誤的欺詐性 谷歌會議的頁面，繼而借此傳播信息竊取惡意軟件，主要針對 Windows 和 macOS 操作系統(tǒng)。

ClickFix是網(wǎng)絡(luò)安全公司Proofpoint在5月份首次報(bào)告的一種社交工程戰(zhàn)術(shù)，它來自一個(gè)威脅行為TA571，該行為者使用了冒充谷歌瀏覽器、微軟Word和OneDrive錯(cuò)誤的信息。

這些錯(cuò)誤提示受害者將一段 PowerShell 代碼復(fù)制到剪貼板，在 Windows 命令提示符中運(yùn)行該代碼即可解決問題。

因此，受害者的系統(tǒng)會感染各種惡意軟件，如 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪貼板劫持者和 Lumma Stealer。

今年 7 月，McAfee 報(bào)告稱，ClickFix 攻擊活動變得越來越頻繁，尤其是在美國和日本。

SaaS 網(wǎng)絡(luò)安全提供商 Sekoia 的一份新報(bào)告指出，ClickFix 攻擊活動現(xiàn)已升級，開始使用谷歌會議引誘、針對運(yùn)輸和物流公司的釣魚電子郵件、偽造的 Facebook 頁面和欺騙性的 GitHub 問題。

ClickFix 發(fā)展大事記，資料來源 Sekoia

據(jù)這家法國網(wǎng)絡(luò)安全公司稱，最近的一些活動是由兩個(gè)威脅組織 “斯拉夫民族帝國（SNE）”和 “Scamquerteo ”發(fā)起的，它們被認(rèn)為是加密貨幣詐騙團(tuán)伙 “Marko Polo ”和 “CryptoLove ”的分隊(duì)。

近期活動中使用的各種魚餌，來源：Sekoia

谷歌會議“陷阱”

谷歌會議是 Google Workspace 套件中的視頻通信服務(wù)，在企業(yè)虛擬會議、網(wǎng)絡(luò)研討會和在線協(xié)作環(huán)境中很受歡迎。

攻擊者會向受害者發(fā)送看似與工作會議/大會或其他重要活動相關(guān)的合法谷歌會議邀請函的電子郵件。

URL 與實(shí)際的谷歌會議鏈接非常相似：

• meet[.]google[.]us-join[.]com
• meet[.]google[.]web-join[.]com
• meet[.]googie[.]com-join[.]us
• meet[.]google[.]cdm-join[.]us

一旦受害者進(jìn)入這個(gè)虛假的頁面，他們就會收到一條彈出消息，告知出現(xiàn)了技術(shù)問題，如麥克風(fēng)或耳機(jī)問題。

如果他們點(diǎn)擊 “嘗試修復(fù)”，一個(gè)標(biāo)準(zhǔn)的 ClickFix 感染過程就會開始，網(wǎng)站復(fù)制并粘貼到 Windows 提示符上的 PowerShell 代碼會用惡意軟件感染他們的計(jì)算機(jī)，并從 “googiedrivers[.]com ”域獲取有效載荷。

在 Windows 上，最終有效載荷是竊取信息的惡意軟件 Stealc 或 Rhadamanthys。在 macOS 機(jī)器上，威脅行為者將 AMOS 竊取程序作為名為 “Launcher_v194 ”的 .DMG （蘋果磁盤映像）文件投放。

除了谷歌會議之外，Sekoia 還發(fā)現(xiàn)了其他幾個(gè)惡意軟件分發(fā)集群，包括 Zoom、PDF 閱讀器、虛假視頻游戲（Lunacy、Calipso、Battleforge、Ragon）、web3 瀏覽器和項(xiàng)目（NGT Studio）以及信使應(yīng)用程序（Nortex）。