微軟發現黑巴斯塔專門從事勒索軟體攻擊的駭客團體利用了 Windows 10 和 Windows 11 內建的功能。快速協助,允許人們透過以安全的方式控制使用者的電腦來遠端幫助使用者。被駭客劫持後,它允許安裝惡意軟體,從而導致 Black Basta 勒索軟體出現在電腦上。
透過電話開始的騙局
最初,網路犯罪分子會淹沒電子郵件地址透過電子郵件了解他們的目標。然後,他們假裝是 Microsoft 支援人員聯繫受害者。駭客透過以下方式向目標撥打電話“聲稱提供垃圾郵件問題方面的幫助”。這些事件的組合減少了使用者的不信任。
正如微軟所解釋的,這是釣魚攻擊,一種詐騙形式,詐騙者利用電話誘騙受害者透露個人資訊。在這種情況下,駭客說服“用戶透過快速支援授予對其設備的存取權限”。事實上,目標只需“按 CTRL + Windows + Q 並輸入安全碼”由攻擊者提供落入陷阱。當會話啟動時,攻擊者將向對話者請求控制電腦。
一旦駭客獲得了對 PC 的存取權限,他就會運行惡意腳本它下載包含病毒的檔案。在駭客部署的惡意軟體中,我們發現了 Qakbot 或 Cobalt Strike,以及誤用於詐欺目的的工具,例如 ScreenConnect 和 NetSupport Manager。有了這些軟體庫,駭客將能夠達到他們的目的。例如,Qakbot 允許您在 PC 上安裝 Black Basta。勒索軟體將對資料進行加密,網路犯罪分子將能夠向目標勒索贖金。
微軟建議停用快速助手
這並不是網路犯罪分子第一次劫持 Windows 功能來策劃攻擊。去年三月,微軟意識到俄羅斯森林暴雪駭客利用協定處理程序網路釣魚攻擊中的 URI「search-ms:」和應用程式協定「search:」。幾個月前,這是被犯罪者劫持的「ms-appinstaller」協議,迫使微軟停用它。
為了防止基於 Quick Assist 的攻擊,Microsoft 建議在不使用時停用該功能。這是最好的解決方案。這家美國巨頭也提醒您不應該服從聯繫您來控制您設備的人:
「只有當您透過直接聯絡 Microsoft 支援或您的 IT 支援人員發起互動時,才允許助理使用 Quick Assist 連線到您的裝置。不要向任何聲稱迫切需要訪問您的設備的人提供訪問權限。
黑義大利麵和 Qakbot
Black Basta 海盜出現在 2022 年 4 月,很快就養成了使用 Qakbot 來促進其行動的習慣。正如卡巴斯基在與 01Net 分享的一份報告中所解釋的那樣,該病毒於 2007 年首次出現,作為“複雜的銀行木馬”。隨著時間的推移,演變成了“獲得新功能,例如電子郵件盜竊、鍵盤記錄以及傳播和安裝勒索軟體的能力”。視為“網路安全領域的持續威脅”,他是已知的“因為其頻繁的更新和改進”。
來源 : 微軟
