根据最新报告,新型恶意软件利用了 ClickFix 社会工程学策略,这种网络钓鱼技术诱使用户在完成验证码或修复系统问题时执行恶意命令。
不法分子主要以加密货币用户为目标,但他们也瞄准浏览器、即时通讯应用、FTP客户端和电子邮件账户。
该攻击活动很危险,因为它结合了社会工程学和能够逃避检测的高级恶意软件传播手段。
该恶意软件由 ACR(AcridRain)窃取者演变而来,ACR 窃取者此前以恶意软件即服务 (MaaS) 模式销售,直至 2024 年中期。现在,它以订阅方式销售。
用户被诱骗在完成验证码 (CAPTCHA) 时在 Windows 运行中运行命令 (ClickFix)。
该攻击活动是更广泛的网络钓鱼生态系统的一部分,该系统利用虚假发票和VBS附件进行攻击。攻击者会将NetSupport远程访问木马植入到虚假的ClickFix页面(SmartApeSG攻击活动)中。
此外,还有伪造的 Booking.com 验证码和伪造的内部电子邮件提醒,其中包含虚假的送达通知,诱使受害者点击链接以窃取登录凭据。
高价值目标加密货币钱包包含可直接转移的资产,因此被视为高价值攻击目标。恶意软件可以绕过杀毒软件、EDR 和沙箱等安全措施。攻击者只会在存储有价值加密货币数据的机器上部署远程访问木马 (RAT)。
一旦被盗,无需中间人即可在几分钟内将其转移到世界各地。
与银行账户不同,加密货币交易是不可逆的,因此一旦攻击者获得私钥,受害者通常无法追回资金。
一个被盗用的钱包就可能损失数十万甚至数百万美元。
Amatera Stealer 等恶意软件专门用于检测和提取加密钱包文件、浏览器钱包和私钥。