要求使用者依照網頁指示,按下按鈕複製惡意程式碼並貼上執行的網路釣魚攻擊手法ClickFix,相關攻擊活動極為氾濫,其中一種幌子就是要求使用者通過CAPTCHA圖靈驗證,如今這種型態的攻擊引起政府當局的注意,警告民眾要特別提高警覺。
以色列國家數位局(Israel National Digital Agency)近日提出警告,有人入侵數百個WordPress網站,結合ClickFix手法及冒牌的Google、Cloudflare圖靈驗證機制,從事大規模攻擊行動ShadowCaptcha,根據他們調查超過100個受害網站的結果指出,這波活動至少進行了一年,全球可能有數千個企業組織受到影響,攻擊者在網站注入了惡意JavaScript指令碼,將使用者重新導向到駭客控制的基礎設施,最終有可能導致資料外洩、被植入挖礦軟體,或是引發勒索軟體攻擊。
ShadowCaptcha融合了社交工程、寄生攻擊(LOLBins),以及多階段的有效酬載交付,駭客以此於目標系統得到初始的存取管道。以色列國家數位局特別提到,如果一直沒發現,攻擊者就有機會在未經授權的情況下,長時間存取內部網路環境。對此,他們提供相關手法的檢測方式,以及預防的方法,並呼籲對終端用戶進行資安意識的訓練,來防範相關攻擊。
針對攻擊者接觸受害者的方法,主要是透過被入侵的WordPress網站,然後藉由注入其中的惡意JavaScript指令碼,將使用者重新導向到惡意網站,過程中會進行「圖靈驗證」,要求使用者依照指示執行系統命令。
攻擊者運用的手法大致可分成兩種,一種是ClickFix最常見的,要用使用者按下Windows鍵+R,貼上命令並執行,這麼做攻擊者就會透過msiexec.exe,於受害電腦植入竊資軟體Lumma Stealer、Rhadamanthys。但除了竊資軟體之外,部分攻擊當中駭客還會進一步下載挖礦軟體的有效酬載,並搭配具備弱點,但已通過數位簽署的驅動程式,以便更有效率地從事挖礦工作。
另一種則是要求使用者將網頁儲存為HTA檔案,並以mshta.exe開啟,最終於受害電腦部署名為Epsilon Red的勒索軟體。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
