IT之家 5 月 16 日消息,安全公司 Rapid7 近日發(fā)布新聞稿,宣布微軟 Windows 內(nèi)置的“快速助手”應(yīng)用已經(jīng)遭到黑客濫用,黑客首先獲取一批受害者信息,之后利用垃圾郵件轟炸相關(guān)受害者郵箱,然后再撥打郵箱主電話冒充安全公司聲稱“能夠提供協(xié)助”,誘騙用戶使用系統(tǒng)內(nèi)置的遠程管理軟件與黑客展開通信,繼而深度入侵用戶設(shè)備。
安全公司表示,相關(guān)黑客可能是勒索軟件黑客組織 Black Basta 的成員,從 4 月中旬起,這些黑客通過網(wǎng)絡(luò)釣魚引誘受害者上當(dāng),之后要求受害者按下快捷鍵 CTRL+Win+Q 啟動快速助手并輸入安全驗證碼,由于相關(guān)功能集成在 Windows 中,因此也能夠維持受害者的信任。
在成功使用“快速助手”應(yīng)用控制受害者電腦后,黑客將會通過 cURL 命令下載一系列批處理文件或 ZIP 壓縮文件,在用戶設(shè)備上部署 ScreenConnect、NetSupport Manager 等遠程管理工具、惡意程序 QBot、滲透測試工具 Cobalt Strike 以及各種勒索軟件;在部分攻擊行動中,黑客還使用 OpenSSH 建立 SSH 隧道,以便在受害者網(wǎng)絡(luò)環(huán)境中持續(xù)行動。
IT之家注意到,微軟在 Windows 10 中引入了“快速助手”應(yīng)用,主要用于技術(shù)人員通過互聯(lián)網(wǎng)遠程協(xié)助用戶排除問題,不過微軟最早在 Windows XP 操作系統(tǒng)中就提供類似的功能,當(dāng)時稱為“Windows 遠程協(xié)助(Windows Remote Assistance)”,但直到現(xiàn)在才有黑客陸續(xù)濫用相關(guān)功能進行攻擊。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。