新型惡意軟體攻擊概述
近期,一場針對旅遊業的新型多階段惡意軟體攻擊在假期高峰期被觀察到。此攻擊使用社交工程技術,如虛假CAPTCHA提示和模擬藍屏錯誤(BSOD)來誘騙用戶手動執行惡意代碼。
攻擊手法與技術
被Securonix威脅研究人員追蹤為PHALT#BLYX的這項行動,始於釣魚郵件,這些郵件假冒Booking.com的預訂取消通知,並強調超過1000歐元的高額房間費用以製造緊迫感。受害者一旦點擊,將被重定向至Booking.com的仿冒網站,從而啟動攻擊鏈。
根據Securonix的分析,此活動展示了從較早、不易避免的技術的演變。早期版本依賴於HTML應用程式文件和mshta.exe,而最新的版本則濫用Microsoft的可信實用程式MSBuild.exe來編譯和執行惡意專案文件。這種"依賴現存資源"的策略能夠繞過許多終端安全控制。
惡意軟體的最終負載
受害者被提示按照螢幕指示,從剪貼板將PowerShell命令粘貼到Windows運行對話框中。該命令下載了一個專案文件,隨後由MSBuild.exe執行。最終負載是一個經過高度混淆的DCRat變種,這是一種常在俄語地下論壇上出售的遠端存取木馬,能夠進行鍵盤記錄、進程注入及部署次級惡意軟體。
威脅來源與安全建議
Securonix研究人員指出多個指標將此活動與俄語威脅行為者聯繫起來,包括惡意軟體中嵌入的西里爾語調試字符串,以及使用上述的DCRat。釣魚誘餌中顯示的費用以歐元計價,暗示攻擊目標為歐洲的旅遊企業。
防範措施
攻擊者還採取措施確保持久性和規避偵測,例如為常見文件類型和目錄添加Windows Defender排除,並使用互聯網快捷方式文件來建立啟動持久性,而非更常見的註冊表方法。
為防範此類威脅,Securonix建議結合用戶教育和增強的終端監控。關鍵防禦措施包括:
- 訓練員工識別ClickFix戰術,切勿在瀏覽器頁面提示下粘貼命令。
- 對涉及緊急預定的郵件保持警惕,並通過官方渠道驗證請求。
- 密切監控MSBuild.exe等受信任二進制文件的異常行為。
研究人員補充說,隨著攻擊者越來越依賴合法系統工具和用戶互動來繞過安全控制,組織必須優先考慮行為檢測和進程級可視性,同時保持傳統釣魚防禦。