网络犯罪分子利用自由软件诱饵来部署劫持装载机和维达尔窃取器

威胁行为者正在用免费或盗版商业软件引诱毫无戒心的用户提供名为Hijack Loader的恶意软件加载程序，然后部署一个名为Vidar Stealer的信息窃取程序。

Trellix安全研究员Ale Houspanossian在周一的分析中表示，Adversaries设法诱骗用户下载了受密码保护的档案文件，其中包含Cisco Webex Meetings应用程序（ptService.exe）的木马副本。

当毫无戒心的受害者提取并执行“Setup.exe”二进制文件时，Cisco Webex Meetings应用程序暗中加载了一个隐身恶意软件加载程序，这导致了信息窃取模块的执行。

起点是一个RAR存档文件，其中包含可执行名称“Setup.exe”，但实际上是Cisco Webex Meetings的ptService模块的副本。

该活动值得注意的是，使用DLL侧加载技术秘密启动劫持加载器（又名DOILoader或IDAT加载器），然后通过AutoIt脚本作为丢弃Vidar Stealer的管道。

Houspanossian说，该恶意软件采用一种已知的技术来绕过用户帐户控制（UAC），并利用CMSTPLUA COM界面进行特权升级。一旦特权升级成功，该恶意软件将自己添加到Windows Defender的防御规避排除列表中。

攻击链除了使用Vidar Stealer从网络浏览器中抽走敏感凭据外，还利用额外的有效负载在受损的主机上部署加密货币矿工。

此前，ClearFake活动激增，吸引网站访问者手动执行PowerShell脚本，以解决查看网页的所谓问题，ReliaQuest上个月晚些时候披露了这一技术。

然后，PowerShell脚本作为Hijack Loader的启动台，最终提供Lumma Stealer恶意软件。窃贼还能够下载另外三个有效负载，包括启动XMRig矿工的下载器Amadey Loader，以及将加密交易重新路由到攻击者控制的钱包的剪切恶意软件。

Proofpoint研究人员Tommy Madjar、Dusty Miller和Selena Larson说，观察到Amadey下载其他有效载荷，例如一种被认为是JaskaGO的基于Go的恶意软件。

这家企业安全公司表示，它还在2024年4月中旬检测到另一个名为ClickFix的活动集群，该集群对受损网站的访问者使用了错误的浏览器更新引诱，以便使用涉及复制和运行PowerShell代码的类似机制来宣传Vidar Stealer。

另一个在其恶意垃圾邮件活动中采用相同社会工程策略的威胁行为者是TA571，有人观察到它发送带有HTML附件的电子邮件，打开后显示错误消息：“您的浏览器中未安装’Word Online’扩展。”

该消息还具有两个选项，“如何修复”和“自动修复”。如果受害者选择第一个选项，Base64编码的PowerShell命令将复制到计算机的剪贴板，然后是启动PowerShell终端的说明，然后右键单击控制台窗口以粘贴剪贴板内容，并执行负责运行MSI安装程序或Visual Basic脚本（VBS）的代码。

同样，最终选择“自动修复”的用户通过利用“search-ms:”协议处理程序，在Windows资源管理器中显示名为“fix.msi”或“fix.vbs”的WebDAV托管文件。

无论选择哪个选项，MSI文件的执行最终都会安装Matanbuchus，而VBS文件的执行则会导致DarkGate的部署。

该活动的其他变体也导致了NetSupport RAT的分发，强调了修改和更新诱饵和攻击链的尝试，尽管它们需要部分用户进行大量互动才能取得成功。

Proofpoint说，合法使用和存储恶意代码的多种方法，以及受害者在与文件没有任何直接关联的情况下手动运行恶意代码，这使得检测这些类型的威胁变得困难。

由于防病毒软件和EDR在检查剪贴板内容时会遇到问题，因此在向受害者提交恶意HTML/网站之前，需要进行检测和阻止。

开发还发生在eSentire披露一项恶意软件活动时，该活动利用冒充Indeed[.]com的相似网站，通过声称提供团队建设想法的诱饵文档删除SolarMarker信息窃取恶意软件。

这家加拿大网络安全公司表示，SolarMarker利用搜索引擎优化（SEO）中毒技术来操纵搜索引擎结果，并提高欺骗性链接的可见性。

攻击者使用搜索引擎优化策略将用户引导到恶意网站，这凸显了谨慎点击搜索引擎结果的重要性，即使这些结果看起来是合法的。

参考链接：https://thehackernews.com/2024/06/cybercriminals-exploit-free-software.html