網路釣魚活動持續正以法語系企業為目標,利用假履歷誘騙用戶,最終部署加密貨幣挖礦程式和資訊竊取程式。Securonix研究人員 Shikha Sangwan、Akshay Gaikwad和Aaron Beardslee:網路攻擊活動使用高度混淆的VBScript檔案,偽裝成簡歷CV文件,並通過釣魚郵件傳播。一旦執行,該惡意軟體會部署一個多功能工具包,該工具包結合憑證竊取、資料外洩和門羅幣 (Monero) 加密貨幣挖礦功能,以實現最大程度的牟利。並將此攻擊活動命名為FAUX#ELEVATE,該活動濫用合法服務和基礎設施,例如利用Dropbox來部署惡意程式碼,利用摩洛哥WordPress網站來託管命令與控制 (C2) 配置,以及利用mail[.]ru SMTP基礎設施來竊取瀏覽器憑證和桌面檔案。
這是一個利用自然資源進行網路攻擊的實例,提高駭客欺騙防禦機制並偷偷潛入目標系統的門檻。初始投放檔案是一個Visual Basic 腳本 (VBScript),開啟後會顯示一個偽造的法文錯誤資訊,誘使收件者誤以為檔案已損壞。然而,背後的實際操作是,這個經過高度混淆的腳本會執行一系列檢查以繞過沙盒(Sandbox),並進入持續的使用者帳戶控制 (User Account Control, UAC)) 循環,提示使用者以管理員權限執行它。值得注意的是,該腳本共有224,471行程式碼,其中只有266行包含實際可執行程式碼。其餘部分則充斥著包含隨機英文句子的無用註釋,導致檔案大小膨脹至9.7MB。
研究人員:該惡意軟體還使用WMI(Windows 管理規範)進行網域加入限制,確保有效載荷僅投放至企業級機器,完全排除獨立家用系統。一旦程式獲得管理員權限,就會立即停用安全控制,並透過設定Microsoft Defender排除路徑來掩蓋其踪跡,這些路徑會覆蓋所有主磁碟機代號(從C碟到I碟),並透過修改Windows登錄機碼來停用UAC,最後也會刪除自身。該程式還會下載兩個託管在 Dropbox上受密碼保護的7-Zip壓縮檔案如下:
在用於竊取憑證的工具中,有一個元件利用ChromElevator專案繞過應用程式綁定加密 (ApplicationBoundEncryptionEnabled, ABE) 保護,從基於Chromium的瀏覽器中提取敏感資料。其他一些工具如下:
駭客使用兩個不同的mail[.]ru寄件者帳戶(olga.aitsaid@mail.ru和3pw5nd9neeyn@mail.ru)透過SMTP協議,使用相同的密碼,將資料洩露到攻擊者控制的另一個郵箱地址(vladimirprolitovitch@duck.com)。一旦憑證竊取和資料外洩活動完成,攻擊鏈會立即清理所有遺留工具,以最大限度地減少鑑識痕跡,最終只留下挖礦程式和木馬的痕跡。Securonix:FAUX#ELEVATE 活動展示一個組織嚴密、多階段的攻擊行動,將多種值得關注的技術整合到一個感染鏈中。
這次網路攻擊活動對企業安全團隊而言尤其危險之處在於其執行速度極快,從初始VBS 執行到憑證竊取,整個感染鏈大約只需 25 秒即可完成,而且攻擊目標具有選擇性,專門針對已加網域的機器,從而確保每個受感染的主機都能通過竊取企業憑證和持續劫持資源來發揮最大價值。
本文參考自:https://thehackernews.com/2026/03/hackers-use-fake-resumes-to-steal.html