資安研究機構 Securonix 近日揭露一項針對歐洲旅館業的新型社交工程攻擊活動,攻擊者利用假冒的 Windows 藍屏死機畫面(Blue Screen of Death,BSOD)誘騙使用者在自己的電腦上編譯並執行惡意程式。這項被命名為「PHALT#BLYX」的攻擊活動自 2024 年 12 月起被偵測到,最終目的是在受害系統植入 DCRAT 遠端存取木馬。
假冒 Booking.com 發動釣魚攻擊
攻擊鏈始於一封精心設計的釣魚郵件。攻擊者假冒飯店房客,聲稱要取消透過 Booking.com 預訂的住房,並要求退款。由於聲稱的退款金額相當可觀,容易讓收件的旅館業務人員產生緊迫感,急於處理這筆「客訴」。
當受害者點擊郵件中的連結後,會被導向架設在「low-house[.]com」網域的假冒 Booking.com 網站。Securonix 研究人員指出,這個釣魚網站高仿真採用與官方網站相同的配色、標誌與字型風格,一般使用者難以分辨真偽。
假藍色死機畫面的社交工程陷阱
ClickFix 是一種社交工程攻擊手法,透過網頁顯示假錯誤訊息、安全警告或驗證碼挑戰,誘騙使用者按照指示在電腦上執行命令。這次攻擊的創新之處在於首次結合假冒的 BSOD 畫面。
當受害者進入假冒網站後,頁面會先顯示「載入時間過長」的假錯誤訊息,提示使用者點擊按鈕重新整理頁面。然而,點擊按鈕後,瀏覽器會進入全螢幕模式並顯示一個逼真的 Windows 藍屏死機畫面。
這個假 BSOD 畫面會指示受害者開啟 Windows 執行對話框,按下 CTRL+V 貼上剪貼簿中的內容,然後按下確定或 Enter 鍵執行。事實上,真正的 BSOD 畫面只會顯示錯誤代碼與重新啟動提示,不會要求使用者執行任何操作。但對於缺乏經驗的使用者,或是急於解決問題的旅館從業人員而言,這些異常跡象很容易被忽略。
利用合法工具編譯惡意程式
受害者貼上並執行的是一段 PowerShell(PS)命令。這段命令會在前景開啟一個假冒的 Booking.com 管理頁面作為掩護,同時在背景下載惡意的 .NET 專案檔案(v.proj),並利用 Windows 內建的 MSBuild.exe 編譯器將其編譯為可執行程式。
這種手法被稱為「寄生攻擊」(Living off the Land,LotL),利用系統內建的合法工具來規避資安產品偵測。編譯完成後,惡意程式會執行以下動作:新增 Windows Defender 排除項目、觸發使用者帳戶控制(User Account Control,UAC)提示以取得管理員權限、透過背景智慧傳輸服務(Background Intelligent Transfer Service,BITS)下載主要載入器,以及在啟動資料夾中植入 .url 檔案以建立持久性。
DCRAT 木馬的威脅能力
最終植入的惡意程式 staxs.exe 是 DCRAT 遠端存取木馬。攻擊者使用 process hollowing 技術,將惡意程式碼注入合法的 aspnet_compiler.exe 程序,直接在記憶體中執行以規避偵測。
DCRAT 具備完整的遠端控制功能,包括遠端桌面存取、鍵盤側錄、反向 Shell,以及在記憶體中載入執行額外惡意程式。Securonix 觀察到,攻擊者在取得控制權後還部署了加密貨幣挖礦程式。一旦攻擊者在目標網路建立立足點,便可進一步橫向移動、竊取資料,甚至入侵其他系統。
企業防護建議
雖然這波攻擊目前鎖定歐洲旅館業,但 ClickFix 社交工程手法可輕易套用至其他產業與地區。台灣企業應提高警覺,採取以下防護措施:
- 強化員工資安意識訓練,特別針對社交工程攻擊的辨識能力
- 限制一般使用者執行 PowerShell 的權限
- 監控 MSBuild.exe 的異常執行行為
- 部署端點偵測與回應(EDR)解決方案
- 對可疑郵件中的連結保持警覺,透過官方管道驗證訊息真偽
本文轉載自bleepingcomputer。