警惕！用户可能在 Windows 终端中粘贴恶意 PowerShell 脚本

重点提示

Proofpoint 研究人员发现了一种新颖的攻击手法，恶意操作者引导用户粘贴 PowerShell 脚本。目前已发现两个活动攻击活动，分别由 TA571 和 ClearFake 进行。通过诱导错误信息，攻击者诱使用户执行恶意代码。企业需加强用户培训，提高防御能力。

最近，用户在组织内部可能会将恶意的 PowerShell 脚本直接复制并粘贴到他们的 Windows 终端中。Proofpoint 的研究人员在一篇 博客文章 中描述了这一看似离奇的场景，指出了两个活跃的攻击活动，试图引诱用户采取这一极端步骤。虽然我们无法确切知道这些攻击成功的比例，但考虑到攻击者持续使用这一手段，感染率可能相当可观， Proofpoint 威胁研究员 Selena Larson 在接受 SC 媒体采访时表示。

第一个攻击活动在三月初被发现，归因于初始访问中介 TA571，而第二个活动则出现在四月初，与“ClearFake”活动集有关。截至六月初，这两个活动似乎都还在继续。

ClearFake 和 TA571 利用用户对合法网站的信任

在 Proofpoint 发现的这两个攻击活动中，攻击者使用了声称发生错误的提示，用户需要采取行动以继续浏览目标网站或文件。这些行动一般包括复制代码并粘贴到 Windows 终端来“安装根证书”或“更新 DNS 缓存”。

在过去两个月内，TA571 向成千上万的组织发送了超过 100000 封垃圾邮件，其中包含一个看似 Microsoft Word 文档或 OneDrive 文件的 HTML 文件。而 ClearFake 攻击则通过已经被攻陷的合法网站发送钓鱼弹窗。

在这两种情况下，终端用户会被误导以为弹窗来自一个受信任的网站或应用程序。根据 Larson 的说法，所使用的合法网站均是通过漏洞获得的机会而被攻击，涵盖了高流量媒体网站及中小企业的网站，以及一些较冷门、流量较少的网站。

在弹窗中点击一个按钮将把恶意的 PowerShell 脚本复制到用户的剪贴板，随后按照提示打开 Windows PowerShell 终端，右键点击会导致脚本被粘贴并执行，用户几乎无法先查看脚本内容。某些版本的攻击活动则利用 Windows 运行终端，这样用户的步骤更少，但可以在运行之前看到脚本内容。

组织必须极为重视用户对新兴威胁的培训，并确保多层防御措施，例如对非管理员用户执行 PowerShell 时进行标记，以防止在攻击链的多个环节被利用， Larson 表示。

PowerShell 脚本安装信息窃取器和后门

从 ClearFake 攻击弹窗中复制的 PowerShell 脚本会导致包括 Lumma Stealer 和 Vidar Stealer 等信息窃取器，以及加密货币挖矿工具和剪贴板劫持器，后者会将复制的加密货币地址替换为攻击者自己的地址。在某些情况下，运行一个脚本后可能最终执行多达五种不同的恶意软件家族。

ClearFake 恶意软件不仅通过用户手动在 PowerShell 终端中执行脚本来避免被检测，还通过检查系统温度来避免虚拟机和沙盒的检测，并利用长嵌套攻击链加载来自不同地方的内容，并采用各种形式的混淆。

水母梯子加速器

对于 TA571 攻击的最终负载包括 DarkGate 和 NetSupport RAT，创建的后门可以被其他网络犯罪分子利用，他们会从 TA571 处购买初始访问。Proofpoint 表示，他们对 TA571 可能最终促成勒索软件攻击有“高度信心”。

尽管这两个攻击活动有相似之处，但 Proofpoint 的研究人员表示，他们并不认为 TA571 直接与 ClearFake 活动集相关联。

Proofpoint 强调，抵御这些攻击的最佳防御就是在 PowerShell 被粘贴之前就阻止攻击链的进一步发展。组织应当训练用户识别活动并报告