安全研究人员观察到,黑客在Interlock勒索软件攻击中采用了一种名为FileFix的新技术,向目标系统投放远程访问木马(RAT)。据报道,这种勒索软件的活动在过去几个月显著增加,威胁行为者开始使用KongTuke网络注入器(又名’LandUpdate808’)通过被攻陷的网站传递有效负载。
这种操作模式的变化自五月以来被The DFIR Report和Proofpoint的研究人员观察到。当时,被攻陷网站的访问者被提示通过伪造的验证码和验证程序,并在运行对话框中粘贴自动保存到剪贴板的内容,这是一种与ClickFix攻击一致的策略。
FileFix是一种社会工程攻击技术,由安全研究员mr.d0x开发。它是ClickFix攻击的演化,成为过去一年中最广泛使用的有效负载分发方法之一。攻击者利用可信的Windows用户界面元素,如文件资源管理器和HTML应用程序(.HTA),诱使用户执行恶意PowerShell或JavaScript代码,而不显示任何安全警告。
在最近的Interlock攻击中,目标被要求将伪造文件路径的命令粘贴到文件资源管理器中,从而下载并在系统上执行PHP RAT。感染后,RAT执行一系列PowerShell命令以收集系统和网络信息,并以结构化JSON格式将数据传输给攻击者。