关键词

cloudflare

近期,一起高度复杂的社会工程攻击活动浮出水面,攻击者通过伪造Cloudflare验证界面诱导用户执行恶意代码,标志着恶意软件传播战术的新一轮演进。

此次攻击利用用户对主流安全服务的信任,构建仿真的Cloudflare验证页面,以此误导目标用户启动恶意程序的安装流程。这种方式绕过了传统的安全意识培训和防御机制,展现出黑客在社会工程领域日益增强的欺骗能力。

多阶段攻击流程

攻击通常始于一个伪造的Cloudflare CAPTCHA页面,外观与官方验证界面高度相似。当用户尝试完成所谓的验证流程时,实则启动了一个多阶段的恶意软件安装链。

研究人员(包括Shaquib Izhar等)指出,该活动危险性高,主要体现在其社交诱导手法与规避检测机制上的高度复杂性。一旦用户点击“验证”按钮,网页会将一段PowerShell代码注入剪贴板,并记录其IP地址以供攻击者侦察使用。

随后,系统会引导用户执行进一步的“验证”,以增强其对页面合法性的信任,同时在后台秘密执行键盘记录行为,持续监控用户操作。

高级感染机制与恶意负载投递

攻击流程展示出精密的技术实现,目的是绕过传统检测系统并保障其持续运行。

用户在打开Windows运行窗口后,网页通过内嵌的Webhook与攻击者的命令与控制(C2)基础设施建立通信,将受害者行为的实时信息发送至远端服务器。

攻击脚本通过PowerShell命令从pastesio[.]com加载Base64编码的有效负载,并进一步从axiomsniper[.]info下载并执行一个预设的BAT批处理文件。

该BAT文件具备反分析机制,能够主动检测虚拟机或沙箱环境,并在发现可疑环境时立即终止运行,避免被安全研究人员自动分析。值得注意的是,截至目前,该文件在VirusTotal上仍显示“零检测”,表明其具备极强的规避能力。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!