HackerNews 编译,转载请注明出处:
一个与巴基斯坦有关的高级持续性威胁(APT)组织被归因于创建一个伪装成印度公共部门邮政系统的虚假网站,旨在感染印度国内的Windows和Android用户。
网络安全公司CYFIRMA将此次攻击归因于名为APT36(也称为Transparent Tribe)的威胁行为者。
该伪造的印度邮政网站名为postindia[.]site。来自Windows系统的用户访问该网站时会被提示下载一个PDF文档,而来自Android设备的用户则会下载一个恶意的应用程序包(“indiapost.apk”)。
CYFIRMA表示:“当从桌面访问时,网站会提供一个包含‘ClickFix’攻击技巧的恶意PDF文件。该文档要求用户按下Win + R键,将提供的PowerShell命令粘贴到运行对话框中并执行,这可能会危及系统安全。”
对与该PDF文件关联的EXIF数据进行分析显示,该文件由一个名为“PMYLS”的作者创建,这可能是指巴基斯坦总理青年笔记本计划。伪装成印度邮政的域名在2024年11月20日注册。
PowerShell代码的目的是从一个远程服务器(“88.222.245[.]211”)下载下一阶段的有效载荷,但该服务器当前处于不活跃状态。
另一方面,当同一个网站从Android设备访问时,它会鼓励用户安装他们的移动应用程序以获得“更好的体验”。一旦安装,该应用程序会请求大量权限,允许它窃取和导出敏感数据,包括联系人列表、当前位置以及外部存储中的文件。
公司表示:“该Android应用程序会将其图标更改为模仿不引人怀疑的Google帐户图标,以掩盖其活动,使用户在想要卸载应用时很难找到它。该应用还具备强制要求用户接受权限的功能,即使第一次被拒绝。”
该恶意应用还设计为即使在设备重启后,也会持续在后台运行,并明确请求忽略电池优化的权限。
CYFIRMA补充道:“‘ClickFix’这一技巧被网络犯罪分子、诈骗者和APT组织广泛利用,正如其他研究人员在野外观察到的那样。这种新兴的攻击手段构成了重大威胁,因为它可以攻击那些不了解或不熟悉此类方法的用户,甚至包括一些技术精通的用户。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
