资安业者Proofpoint揭露新型态的社交工程攻击手法，骇客组织ClearFake、TA571声称Chrome、Word、OneDrive等应用程式出错为由，引诱使用者依照指示，复制、贴上并执行PowerShell指令码，从而导致电脑感染恶意软体。

研究人员从今年3月、4月，以及6月初，看到上述两组人马运用相关手法从事攻击行动，但无法确认这些骇客是否有所关连。

专门谎称用户浏览器必须更新的骇客改变手法，要求用户依照指示解决网页载入错误的问题

其中，专门以浏览器更新为幌子发动攻击的骇客组织ClearFake，他们主要锁定的目标是特定网站用户，骇客先是攻击网站植入恶意内容，一旦使用者浏览这些网站，电脑就有可能载入来自币安智能链（Binance Smart Chain，BSC）的恶意指令码，而该指令码又会从另一个网域载入第2个指令码，其功能是借由名为Keitaro的流量引导系统（TDS）过滤目标用户。

研究人员指出，上述骇客利用区块链隐匿作案工具的手法，他们称为EtherHiding。

若是目标使用者仍持续浏览受害网站，他们就会看到骇客设置的「错误讯息」，宣称用户必须依照指示安装根凭证，才能正常浏览网站。

这个弹出式对话框列出了详细的操作步骤，首先他们要求使用者按下复制程式码的按钮，然后开启PowerShell，并在主控台视窗点选滑鼠右键，然后等待指令码执行完成再重新载入网页。

然而使用者一旦照做，就会在PowerShell命令列视窗贴上攻击者的指令码并执行。他们看到对方清除DNS快取、移除剪贴簿的内容，显示诱骗讯息，并从远端取得另一个PowerShell指令码，在记忆体内执行，而这个指令码的功能，会确认受害电脑是否是资安人员的测试环境，其方法是检查电脑是否回传系统温度。

若是通过上述检查，骇客就会利用经过AES编码的指令码部署恶意程式，他们借由恶意程式载入工具IDAT Loader（也叫做HijackLoader、DOILoader），于受害电脑载入窃资软体Lumma Stealer，之后，还会再部署挖矿软体、剪贴簿挟持程式，以及另一个恶意程式载入工具Amadey Loader，企图植入更多恶意软体。

也有佯称Word、OneDrive等应用程式出错的攻击手法

另一个骇客组织TA571使用的手法略有不同，他们先是寄送带有HTML附件的电子邮件，一旦收信者开启附件，电脑就会显示看起来像是Word操作介面的网页，并显示错误讯息，宣称使用者未在浏览器安装Word Online延伸套件，若要离线检视文件，必须依照指示操作。

在上述页面中，对方提供了修复方法（How to fix）、自动修复（Auto-fix）等选项。假如收信人点选修复方法的按键，就会将PowerShell指令码复制到剪贴簿，此时，上述网页内容就会变换成要求开启PowerShell，并右键点选终端机视窗的指示，对方将会传送MSI安装档或是VBS指令码，从而于受害电脑部署恶意软体Matanbuchus、DarkGate。

若是使用者按下了自动修复的按钮，电脑就会启动搜寻通讯协定（search-ms），在档案总管显示含有前述MSI档及VBS档案的WebDAV资料夹。

除了声称Word错误，研究人员也看到骇客声称OneDrive执行错误的情况，对方制作类似OneDrive操作介面的网页，一旦使用者开启就会出现错误讯息，要求依照指示操作，手动更新DNS的快取内容。

研究人员指出，虽然这种攻击手法过程中需要使用者大量互动，但对方借由应用程式的错误讯息，并提供了「解决方案」，使得用户很可能降低警觉，依照画面上的指示解决问题，而落入骇客的圈套。对此，研究人员呼吁企业组织，应在资安意识的训练中，教育使用者识别这种攻击手法。