【安全资讯】TA571和ClearFake利用社交工程技术传播PowerShell恶意软件

概要：

近日，Proofpoint研究人员发现了一种复杂的社交工程技术，通过剪贴板操作来传播PowerShell恶意软件。此方法被TA571和ClearFake等威胁行为者使用，目标是传播包括DarkGate、Matanbuchus、NetSupport等恶意软件。

主要内容：

TA571和ClearFake利用社交工程技术，通过剪贴板操作传播恶意软件。攻击者通过恶意垃圾邮件或被攻陷的网站，诱导用户复制并粘贴提供的PowerShell脚本，从而执行恶意代码。这种方法依赖于用户的主动操作，使得传统的安全措施难以检测。

ClearFake活动于2024年4月初首次被发现，攻击者通过合法网站植入恶意HTML和JavaScript代码，诱导访问者复制并运行PowerShell脚本。该活动采用多阶段的有效载荷投递系统，包括初始感染、有效载荷投递和最终阶段的恶意软件安装，如Lumma Stealer、Amandey Loader和XMRig加密货币矿工。

TA571活动自2024年3月1日开始，利用高量垃圾邮件活动传播恶意软件。攻击者通过HTML附件模拟Microsoft Word错误，诱导用户复制并执行PowerShell命令。TA571的有效载荷包括DarkGate和Matanbuchus等恶意软件，通常导致勒索软件感染。

这些攻击依赖于用户的主动操作，使得防御变得困难。组织需要优先考虑用户教育，教导员工警惕意外的提示，并在执行任何代码前验证其合法性。此外，部署能够检测和阻止恶意PowerShell脚本的安全工具也是必不可少的。