HackerNews 编译,转载请注明出处:
微软近日披露了一场持续进行的恶意广告活动,该活动利用Node.js提供能够窃取信息及数据泄露的恶意载荷。
该活动最早于2024年10月被发现,通过伪装成币安(Binance)或TradingView等合法软件的欺诈网站,以加密货币交易为诱饵,诱骗用户安装恶意安装程序。
下载的安装程序内嵌动态链接库(“CustomActions.dll”),其功能包括通过Windows管理规范(WMI)收集基础系统信息,并通过计划任务在受感染主机上实现持久化驻留。
为维持伪装,该动态链接库会通过“msedge_proxy.exe”启动浏览器窗口,显示合法的加密货币交易网站。值得注意的是,“msedge_proxy.exe”可用于将任意网站显示为网络应用程序。
与此同时,计划任务被配置为运行PowerShell命令,从远程服务器下载附加脚本。这些脚本负责将正在运行的PowerShell进程及当前目录排除在Microsoft Defender for Endpoint的扫描范围之外,以此规避检测。
设置排除项后,系统会执行一条经过混淆的PowerShell命令,从远程URL获取并运行能够收集操作系统、BIOS、硬件及已安装应用等详细信息的脚本。
所有窃取的数据均被转换为JSON格式,并通过HTTPS POST请求发送至命令与控制(C2)服务器。
攻击链随后进入下一阶段:另一条PowerShell脚本被启动,从C2服务器下载包含Node.js运行时二进制文件及JavaScript编译(JSC)文件的压缩包。Node.js可执行文件触发JSC文件的运行,该文件会建立网络连接并可能窃取浏览器敏感信息。
微软观察到的另一感染链中,攻击者采用“ClickFix”策略实现内联JavaScript执行,即通过恶意PowerShell命令直接下载Node.js二进制文件并运行JavaScript代码(而非从文件加载)。
内联JavaScript执行的操作包括:通过网络探测识别高价值资产,将C2流量伪装为合法的Cloudflare活动以躲避监测以及通过修改Windows注册表启动项实现持久化。
微软表示:“Node.js是一个开源、跨平台的JavaScript运行时环境,允许JavaScript代码在浏览器外运行。因其支持开发者构建前端与后端应用,受到广泛信任。然而,攻击者正利用Node.js的特性,试图将恶意软件与合法应用混淆,绕过传统安全防护机制,并长期潜伏在目标环境中。”
此次披露之际,CloudSEK发现一个仿冒PDF Candy(域名为candyxpdf[.]com或candyconverterpdf[.]com)的虚假PDF转DOCX网站,利用“ClickFix”社会工程学手段诱导受害者运行编码后的PowerShell命令,最终部署SectopRAT(又名ArechClient2)木马。
安全研究员Varun Ajmera在本周发布的报告中指出:“攻击者精心复制了真实平台的用户界面,并注册了外观相似的域名以欺骗用户。攻击链通过诱骗受害者执行PowerShell命令来安装Arechclient2木马。该木马属于危险的SectopRAT信息窃取家族,以从受感染系统窃取敏感数据著称。”
此外,钓鱼活动还被发现使用基于PHP的工具包,以人力资源(HR)主题骗局针对企业员工,未经授权访问薪资门户并修改受害者银行账户信息,将资金转移至攻击者控制的账户。
部分活动被归因于名为“薪资海盗”(Payroll Pirates)的黑客组织。攻击者通过谷歌的赞助广告投放恶意搜索广告,仿冒人力资源页面,诱骗受害者提交账户凭证及双因素认证(2FA)代码。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
