微新创想:近日,网络安全公司Malwarebytes披露一起针对法国用户的钓鱼攻击事件。攻击者通过注册与合法域名高度相似的易混淆域名,成功伪装成微软官方渠道,诱导用户点击伪造的KB5034765更新标识。这一手段让用户误以为正在下载官方安全补丁,从而降低警惕性。
攻击者利用精心设计的钓鱼页面,引导用户下载一个大小为83MB的恶意安装包。该安装包采用WiX Toolset进行构建,并通过Electron框架进行封装,使其在外观上与合法软件高度相似。这种技术组合使得恶意软件能够绕过数十款主流安全引擎的检测,增加了攻击的隐蔽性。
一旦用户执行该安装包,恶意软件便会启动一个伪装成Python进程的VB脚本。该脚本具备高度隐蔽性,能够窃取用户的浏览器凭据、Discord令牌以及支付信息等敏感数据。这些信息一旦被泄露,可能被用于非法活动,如身份盗用、金融诈骗等,给用户带来严重安全风险。
为了确保恶意软件在系统中长期运行,攻击者还利用Windows注册表和启动项机制,实现了持久化。这意味着即使用户重启电脑,恶意软件仍会自动运行,进一步扩大了攻击的潜在影响。
值得注意的是,此次攻击所涉及的KB5034765更新标识,实际上是一个2024年的旧补丁,与当前广泛使用的Windows 24H2版本并不兼容。这一细节表明,攻击者可能利用了用户对旧补丁的误认,从而达到欺骗目的。
该事件再次提醒用户,面对看似官方的软件更新提示,务必保持警惕。建议用户通过官方渠道下载软件,避免点击来源不明的链接。同时,定期更新安全软件,增强系统防护能力,以防范类似攻击的发生。
