近期網釣攻擊最受矚目的新興手法ClickFix,後續出現各式各樣的變形版本,像是整個攻擊流程都在瀏覽器進行的FileFix,或是藉由覆蓋整個螢幕內容脅迫受害者依照指示操作的JackFix,以及結合OAuth身分驗證流程的ConsentFix,如今又有駭客發展出新型態手法,讓使用者以為瀏覽器出錯而乖乖依照指示「修復」。
威脅情報公司Huntress揭露名為CrashFix的攻擊手法,發動者是外號為KongTuke、LandUpdate808或TAG-124的駭客組織,他們近期透過惡意瀏覽器延伸套件NexShield,意圖於受害電腦植入惡意軟體ModeloRAT。此延伸套件冒充知名的擋廣告工具uBlock Origin Lite,一旦使用者安裝,瀏覽器就會出現當機訊息,然後要求使用者依照指示下達特定指令來排除,然而若是照做,就會複製、貼上及執行駭客的惡意指令,導致電腦感染ModeloRAT。
這些駭客鎖定在網路上尋找廣告攔截工具的使用者,他們投放惡意廣告,引導使用者到Chrome Web Store延伸套件市集下載NexShield,Huntress經過比對發現,駭客的延伸套件幾乎完全複製uBlock Origin Lite的程式碼,以此騙過Google的初步審核與使用者的信任。再者,駭客聲稱該套件是uBlock Origin Lite作者Raymond Hill的開發,並提及一個實際上不存在的GitHub程式庫,這麼做是濫用使用者對於知名開源專案的信任。
在使用者安裝了NexShield之後,過了一陣子瀏覽器就會突然變得無法回應,若是將瀏覽器重新開啟,就會顯示異常終止的彈出式視窗,要求使用者執行掃描,結果指出偵測到瀏覽器有潛在的安全問題,有可能導致上網資料被駭,使用者必須依照指示操作,手動開啟執行視窗(Windows鍵+R)、貼上(Ctrl+V),然後按下Enter。但實際上,電腦會執行駭客的指令,從C2下載ModeloRAT並進行部署。
為何瀏覽器會出現無法回應的現象?原因是NexShield對瀏覽器進行阻斷服務(DoS)攻擊,攻擊者執行特定功能函數,一口氣進行多達10億次的反覆執行(iterate),每次都會建立新的連線,而且當迴圈執行完成時,又會透過另一個功能函數再度排隊執行上述迴圈,從而達到無限迴圈消耗處理器與記憶體等運算資源的目的,導致瀏覽器內部的訊息基礎設施不堪負荷,出現運作延遲甚至反應遲鈍的現象,最終導致瀏覽器當機,使用者有可能需要手動終止相關處理程序。
值得一提的是,目前攻擊者似乎偏好鎖定有加入網域的電腦,突顯他們的目標是打算藉此得到入侵企業網路環境的管道,因為這代表攻擊者有機會存取AD、內部系統,以及橫向移動。若是未加入網域的一般使用者,則會被引導至另一個尚在測試的感染鏈。不過,Huntress指出,這不代表一般個人用戶就能掉以輕心,這可能只是駭客還沒有準備完成,而非只打算攻擊企業組織的電腦。
熱門新聞
2026-01-19
2026-01-20
2026-01-16
2026-01-19
2026-01-20
2026-01-20