隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2024
08
02

網路釣魚攻擊鎖定OneDrive用戶,引誘執行惡意PowerShell指令碼[轉載自IThome]

關鍵字:網頁設計JAVA程式設計專案開發資訊安全網頁設計作品

文/周峻佑 | 2024-08-01發表

假借排除電腦錯誤碼的名義,引誘使用者複製PowerShell命令並執行的攻擊手法,最近有數起資安事故傳出,例如,有人架設冒牌IT技術支援網站而散布竊資軟體Vidar Stealer、也有聲稱應用程式出錯而誘使植入惡意軟體的情況,如今又有類似的網路攻擊出現。

資安業者Trellix揭露針對雲端檔案共享服務OneDrive用戶而來的攻擊行動,駭客先是寄送釣魚郵件,其中內含HTML附件檔,一旦收信人開啟,電腦就會顯示共享PDF檔案Reports.pdf的OneDrive網頁,並彈出Error 0x8004de86錯誤訊息,聲稱無法與OneDrive服務連線,使用者必須手動更新DNS快取來因應。

而這個錯誤訊息提供使用者兩個按鈕,其中一個是修復方法(How to fix),另一個則是詳細資料。

若是點選詳細資料,駭客便會將使用者導向Microsoft Learn的DNS故障排除網頁,但假如使用者點選How to fix按鈕,就會看到「指示」,要求按下特定快速鍵(視窗鍵+X)並執行PowerShell或是終端機,然後在視窗裡先後按下Ctrl+V及Enter。一旦使用者依照指示操作,電腦就會執行以Base64編碼處理過的PowerShell命令。 

 

究竟駭客何時擅自將惡意指令複製到剪貼簿?答案就是使用者按下How to fix之後,會同時觸發HTML檔案內嵌的JavaScript指令碼特定功能函數呼叫。

因此,使用者後續在終端機貼上剪貼簿的內容,就會執行攻擊者下達的惡意命令。駭客會先執行ipconfig /flushdns,然後下載AutoIT執行檔及惡意指令碼,從而在受害電腦部署惡意軟體。此外,上述作業執行完成後,電腦還會顯示操作成功與要求使用者重新載入網頁的訊息,此舉看似正常,使得受害者難察覺有異。

 

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價