Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

冒牌IT技術支援網站假借提供PowerShell指令碼「解決」Windows更新錯誤,意圖散布竊資軟體Vidar Stealer

Share

支付動態

2024-07-02

電腦更新若出現錯誤訊息,請勿到來路不明的網站尋求解法,因為這有可能落入駭客的圈套!本周有研究人員揭露這類型攻擊行動,對方的目標是遇上安裝BitLocker修補程式卻出現更新錯誤警示的用戶,一旦依照指示執行對方提供的PowerShell指令碼,電腦就會被植入竊資軟體Vidar Stealer

在駭客架設的網站中,提供了詳細的操作步驟,要使用者依照指示複製PowerShell指令碼,並打開電腦的終端機,點選滑鼠右鍵貼上、執行,使用者為了解決電腦出現的錯誤訊息,很有可能就會照著操作,而不慎在電腦執行駭客的惡意指令碼。

研究人員解析對方提供的PowerShell指令碼,其內容經過Base64編碼處理,一旦執行,就會先下載特定的ZIP壓縮檔到電腦的暫存資料夾,然後使用URL產生POST請求,研究人員推測,這麼做的目的,很可能是用來向C2伺服器回報下載已經完成。

接著,該指令碼解開ZIP檔並執行內含的惡意酬載,完成後又解碼另一組Base64字串,得到另一個URL並發出POST請求,向攻擊者回傳已感染成功的訊息。

值得留意的是,這些駭客也上傳教學影片來試圖散布PowerShell指令碼。研究人員在調查的過程發現,有一支YouTube影片與之有關,其中內含來自機器人的評論,聲稱影片提供的方法確實有效。

Disclaimer:
Details
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu