近日,安全公司Rapid7发布新闻稿,指出微软Windows内置的“快速助手”应用已被黑客滥用。黑客首先获取一批受害者的个人信息,然后利用垃圾邮件轰炸这些受害者邮箱,并在之后拨打电话冒充安全公司,诱骗用户使用系统内置的远程管理软件与黑客进行通信,从而深度入侵用户的设备。
Rapid7表示,相关黑客可能是勒索软件黑客组织Black Basta的成员。从4月中旬起,这些黑客通过网络钓鱼方式诱使受害者上当,并要求他们按下快捷键CTRL+Win+Q启动“快速助手”应用并输入安全验证码。由于相关功能集于Windows中,因此可以维持受害者的信任。
成功控制了受害者的电脑后,黑客将通过cURL命令下载一系列批处理文件或ZIP压缩文件,在用户设备上部署ScreenConnect、NetSupport Manager等远程管理工具、恶意程序QBot、渗透测试工具Cobalt Strike以及各种勒索软件。在部分攻击行动中,黑客还使用OpenSSH建立SSH隧道以便在受害者网络环境中持续行动。
微软在Windows 10中引入了“快速助手”应用的主要目的是供技术人员通过互联网远程协助用户排除问题。然而微软早在Windows XP操作系统就提供了类似的功能,当时称为“Windows远程协助(Windows Remote Assistance)”。如今随着黑客开始滥用相关功能进行攻击,这个问题变得日益严重。
为了解决这个问题,微软建议用户更新他们的操作系统和应用程序,并确保其防火墙处于启用状态。同时也要小心点击来自不明来源链接和打开附件的电子邮件附件。如果用户怀疑自己已成为攻击目标,则应该立即停止使用“快速助手”并联系微软以获得进一步帮助。
本文属于原创文章,如若转载,请注明来源:Win10/11系统内置“快速助手”应用遭黑客滥用,用于从事钓鱼勒索软件攻击行动https://news.zol.com.cn/871/8719785.html
