微软发现黑巴斯塔专门从事勒索软件攻击的黑客团伙利用了 Windows 10 和 Windows 11 内置的功能。该功能称为快速协助,允许人们通过以安全的方式控制用户的计算机来远程帮助用户。被黑客劫持后,它允许安装恶意软件,从而导致 Black Basta 勒索软件出现在计算机上。
通过电话开始的骗局
最初,网络犯罪分子会淹没电子邮件地址通过电子邮件了解他们的目标。然后,他们假装是 Microsoft 支持人员联系受害者。黑客通过以下方式向目标拨打电话“声称提供垃圾邮件问题方面的帮助”。这些事件的组合减少了用户的不信任。
正如微软所解释的,这是钓鱼攻击,一种诈骗形式,诈骗者利用电话诱骗受害者透露个人信息。在这种情况下,黑客说服“用户通过快速支持授予对其设备的访问权限”。事实上,目标只需“按 CTRL + Windows + Q 并输入安全码”由攻击者提供落入陷阱。当会话启动时,攻击者将向对话者请求控制计算机。
一旦黑客获得了对 PC 的访问权限,他就会运行恶意脚本它下载包含病毒的文件。在黑客部署的恶意软件中,我们发现了 Qakbot 或 Cobalt Strike,以及误用于欺诈目的的工具,例如 ScreenConnect 和 NetSupport Manager。有了这些软件库,黑客将能够达到他们的目的。例如,Qakbot 允许您在 PC 上安装 Black Basta。勒索软件将对数据进行加密,网络犯罪分子将能够向目标勒索赎金。
微软建议禁用快速助手
这并不是网络犯罪分子第一次劫持 Windows 功能来策划攻击。去年三月,微软意识到俄罗斯森林暴雪黑客利用协议处理程序网络钓鱼攻击中的 URI“search-ms:”和应用程序协议“search:”。几个月前,这是被犯罪分子劫持的“ms-appinstaller”协议,迫使微软停用它。
为了防止基于 Quick Assist 的攻击,Microsoft 建议在不使用时禁用该功能。这是最好的解决方案。这家美国巨头还提醒您不应该服从联系您来控制您设备的人:
“仅当您通过直接联系 Microsoft 支持或您的 IT 支持人员发起交互时,才允许助手使用 Quick Assist 连接到您的设备。不要向任何声称迫切需要访问您的设备的人提供访问权限。”
黑意大利面和 Qakbot
Black Basta 海盗出现于 2022 年 4 月,很快就养成了使用 Qakbot 来促进其行动的习惯。正如卡巴斯基在与 01Net 分享的一份报告中所解释的那样,该病毒于 2007 年首次出现,作为“复杂的银行木马”。随着时间的推移,演变成了“获得新功能,例如电子邮件盗窃、键盘记录以及传播和安装勒索软件的能力”。视为“网络安全领域的持续威胁”,他是已知的“因为其频繁的更新和改进”。
来源 : 微软
