部分玩家可能不想為遊戲付費,因此時常尋找一些遊戲破解網站來下載盜版遊戲;不過現在有安全研究人員發現,網路上出現一種剪驗證碼網頁,誘騙這一類盜版遊戲玩家安裝惡意軟體。
這一類的攻擊是由 McAfee 實驗室的研究人員所發現,並將其稱為「ClickFix」。假驗證碼網頁會誘騙玩家下載「Lumma Stealer」惡意軟體,這是一種專門竊取使用者的登入憑證的惡意程式。據稱,這波攻擊遍及全球,主要針對尋找破解盜版遊戲的玩家,以及 GitHub 用戶。
感染的途徑主要有兩種。一是,搜尋盜版、破解遊戲的使用者會被重新導向惡意驗證碼網頁;二是,使用冒充 GitHub 的網路釣魚電子郵件,向使用者告知其專案中虛構的安全風險。
在這兩種情況下,使用者都會看到假冒的驗證碼網頁,要求他們驗證自己是人類。一旦使用者執行了這個假冒的驗證碼網頁,惡意腳本就會被秘密複製到他們的剪貼簿中,隨後使用者會被要求貼上並執行此腳本,在不知不覺中開始在其系統中感染惡意軟體。
「ClickFix」的惡意活動會採取許多巧妙地規避手法來避免偵測,包括惡意腳本的多層加密、濫用名為 mshta.exe 的 Windows 工具來執行隱藏程式碼,以及用於下載和安裝 Lumma Stealer 有效負載的 AES 加密 PowerShell 命令。
那麼為什麼這一類的惡意程式不會被防毒軟體抓到?McAfee 實驗室的分析顯示,惡意軟體通常保存在用戶的臨時資料夾中,該位置經常被安全掃描所忽視。也因此 McAfee 現在也實施保護措施,包括對已知假冒驗證碼頁面進行 URL 阻止以及相對更簡單的方法來發現 mshta.exe 的異常使用。
但是說到底,用戶想要降低這一類的風險,最好就是不要下載破解或盜版軟體,且用戶也應該對未經請求的電子郵件保持謹慎的態度,即使是那些看似來自可信任來源的電子郵件。不過安全研究人員也強調,不要從未經驗證的來源複製和貼上腳本,並維持安全軟體是最新版本。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
