ClickFix攻击活动升级：可通过虚假谷歌会议画面传播恶意软件

最近，攻击过虚歌研究人员报告了一种新的活动 ClickFix 攻击活动 ，主要通过诱骗用户访问显示虚假连接错误的升级欺诈性 谷歌会议的页面，继而借此传播信息窃取恶意软件 ，可通主要针对 Windows 和 macOS 操作系统。假谷件

ClickFix是议画意软网络安全公司Proofpoint在5月份首次报告的一种社交工程战术 ，它来自一个威胁行为TA571，面传该行为者使用了冒充谷歌浏览器
 、播恶微软Word和OneDrive错误的攻击过虚歌信息 。模板下载

这些错误提示受害者将一段 PowerShell 代码复制到剪贴板，活动在 Windows 命令提示符中运行该代码即可解决问题。升级

因此，可通受害者的假谷件系统会感染各种恶意软件，如 DarkGate、议画意软Matanbuchus 、面传NetSupport、Amadey Loader、XMRig
、剪贴板劫持者和 Lumma Stealer
。

今年 7 月，McAfee 报告称
，ClickFix 攻击活动变得越来越频繁，亿华云尤其是在美国和日本 。

SaaS 网络安全提供商 Sekoia 的一份新报告指出，ClickFix 攻击活动现已升级，开始使用谷歌会议引诱、针对运输和物流公司的钓鱼电子邮件、伪造的 Facebook 页面和欺骗性的 GitHub 问题。

ClickFix 发展大事记
，资料来源 Sekoia

据这家法国网络安全公司称 ，最近的免费模板一些活动是由两个威胁组织 “斯拉夫民族帝国（SNE）”和 “Scamquerteo ”发起的，它们被认为是加密货币诈骗团伙 “Marko Polo ”和 “CryptoLove ”的分队 。

近期活动中使用的各种鱼饵，来源：Sekoia

谷歌会议“陷阱”

谷歌会议是 Google Workspace 套件中的视频通信服务  ，在企业虚拟会议、网络研讨会和在线协作环境中很受欢迎
。

攻击者会向受害者发送看似与工作会议/大会或其他重要活动相关的云计算合法谷歌会议邀请函的电子邮件。

URL 与实际的谷歌会议链接非常相似
：

meet[.]google[.]us-join[.]commeet[.]google[.]web-join[.]commeet[.]googie[.]com-join[.]usmeet[.]google[.]cdm-join[.]us

一旦受害者进入这个虚假的页面，他们就会收到一条弹出消息，告知出现了技术问题
，如麦克风或耳机问题。

如果他们点击 “尝试修复” ，一个标准的 ClickFix 感染过程就会开始 ，网站复制并粘贴到 Windows 提示符上的 PowerShell 代码会用恶意软件感染他们的计算机，服务器租用并从 “googiedrivers[.]com ”域获取有效载荷
。

在 Windows 上，最终有效载荷是窃取信息的恶意软件 Stealc 或 Rhadamanthys 。在 macOS 机器上，威胁行为者将 AMOS 窃取程序作为名为 “Launcher_v194 ”的 .DMG （苹果磁盘映像）文件投放 。

除了谷歌会议之外 ，Sekoia 还发现了其他几个恶意软件分发集群，包括 Zoom
、PDF 阅读器、虚假视频游戏（Lunacy、Calipso、建站模板Battleforge、Ragon）、web3 浏览器和项目（NGT Studio）以及信使应用程序（Nortex） 。

很赞哦!（12）