社交工程攻擊ClickFix出現新手法,駭客藉由查詢惡意DNS取得有效酬載
攻擊手法演進與惡意DNS查詢機制
為了讓ClickFix網釣過程當中,使用者依照指示複製、貼上的指令能更加順利運作,現在有駭客搭配惡意DNS查詢手法,使得相關攻擊流量會被資安設備視為一般DNS流量,以掩人耳目。
惡意DNS查詢如何取得有效酬載
使用者執行駭客的指令後,電腦會執行CMD,對特定的外部DNS伺服器進行查詢,並擷取DNS回應 Name: 欄位的內容,作為第二階段的PowerShell有效酬載。駭客濫用此機制,將惡意指令透過DNS查詢方式隱藏於正常流量中,提升攻擊成功率。
相關攻擊案例與擴展趨勢
- 資安公司ReliaQuest指出,勒索軟體集團LeakNet近期攻擊行動出現明顯升級,攻擊者導入ClickFix社交工程手法與新型Deno惡意程式載入工具,強化初始入侵與後續攻擊流程。
- 微軟威脅情報團隊發現有人在ClickFix攻擊活動導入新的迴避偵測手法,若使用者依照指示執行經混淆處理的指令,電腦就會執行nslookup查詢攻擊者建置的惡意DNS伺服器。
- 研究人員觀察到駭客使用多種誘餌,包含要求更新Chrome、修正PDF轉檔網站PDF Simpli錯誤、要求加入臉書社群、通過reCAPTCHA圖靈驗證等,以誘導使用者執行惡意指令。
擴展應用與目標擴張
ClickFix是一種社交工程技術,誘騙用戶複製並執行惡意終端機指令,利用不了解執行未知指令後果的用戶。Sophos X-Ops觀察到三波部署了MacSync資訊竊取程式的攻擊行動,顯示該手法已擴展至macOS用戶。