關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
顯示分類
2026.01.27
事件與威脅/資訊安全
新型偽造驗證碼騙局利用微軟工具安裝 Amatera 竊取程式
2026年1月23日星期五,網路威脅監控公司Blackpoint Cyber揭露了一種駭客誘騙用戶感染自身電腦的巧妙新方法。這種最新騙局利用虛假的「我不是機器人」驗證繞過安全防護,並安裝名為Amatera Stealer的資料竊取程式。
我們大多數人習慣點擊方框或識別交通號誌來證明自己是真人。然而,Blackpoint Cyber 的研究人員在與 Hackread.com 分享的部落格文章中解釋說,這種攻擊使用的是偽造的驗證碼 (Fake CAPTCHA)。該網站並非要求用戶簡單地點擊驗證碼,而是要求用戶執行鍵盤快捷鍵,例如按下回車鍵,然後貼上驗證碼並按下回車鍵。Windows Key + R 使用者這樣做會在不知情的情況下執行啟動感染的命令。駭客使用一個名為「Windows 內建工具」的工具SyncAppvPublishingServer.vbs來隱藏他們的蹤跡。
這被稱為LOLBin(Living Off the Land Binary,即「本地二進位」),這意味著它是一個真正的微軟腳本,用於管理虛擬應用程式。由於該工具是 Windows 系統中簽署且受信任的元件,因此許多防毒軟體無法偵測到任何惡意行為。
這條攻擊鏈最終以傳播 Amatera Stealer 病毒告終,該病毒旨在竊取已保存的密碼、信用卡資訊和瀏覽器資料。它甚至試圖透過偽裝連接到諸如microsoft.com或facebook.com之類的常用網站來隱藏其網路流量。 另外要注意的是,此技巧僅適用於啟用了 App-V 功能的最新版 Windows 10、11 或 Server 版本。如果您使用的是 Windows 家用版,攻擊很可能會失敗。為了確保安全,他們建議永遠不要將網站上的命令複製並貼上到電腦的「運行」對話方塊中。
由於App‑V 本身不是資安產品,因此組織必須透過環境強化、帳號控管、更新管理與攻擊偵測等方式進行補強。日報依不同威脅類型整理相應的防護措施,提供組織強化App-V威脅防護措施之參考。
  1. 防止未授權操作 App‑V(最主要的 App‑V 風險)
Microsoft 官方指出,App‑V 最嚴重的風險是攻擊者「劫持 App‑V Client 功能」並重新配置設定。防護方式:
  • 嚴格控管 App‑V 管理帳號
―為 App‑V 伺服器建立專用 AD 群組(如 Management Admin)。
―強制使用 強密碼(15 字元以上),禁止使用空白密碼。
  • 限制哪些電腦/帳號能存取 App‑V Publishing Server
僅允許必要的 Client 電腦加入 Publishing Server 的 Users 群組。
  • 取消不必要的本機系統管理權限,避免 App‑V Client 被惡意操作。
  1. 防止利用 App‑V Script 作為攻擊媒介(2026 最新攻擊)
攻擊者利用 App‑V 內建的 SyncAppvPublishingServer.vbs 當作「合法掩護」來執行 PowerShell,並植入 Amatera 資料竊取惡意程式。這意味著 App‑V Script 可能成為 Living‑off‑the‑Land(LOLBins)攻擊工具。防護方式:
  • 禁止未授權的 App‑V Script 執行:封鎖未知路徑的 .vbs / .ps1 / .cmd。
  • 監控常被濫用的 App‑V 腳本:如:SyncAppvPublishingServer.vbs(本次攻擊案例)。
  • 啟用 EDR / SOC 偵測 PowerShell + WMI 後門行為:此攻擊會再啟動隱藏的 PowerShell、WMI 呼叫、Base64、Steganography 取檔案等行為。
  • 限制腳本在 Local/Virtual Environment 的權限使用:僅允許必要腳本使用 Admin / Local 執行。
  1. 防堵虛擬化隔離突破與沙箱弱點
研究指出 App‑V 與其他虛擬化框架一樣,可能因 沙箱隔離不足、特權提升與虛擬環境逃逸而受威脅。防護方式:
  • 不要將高度敏感或需高權限的系統元件虛擬化:如 COM+、核心驅動、系統服務。
  • 限制 App‑V 套件可存取的實體路徑:像是 Program Files、System32。
  • 避免在 App‑V 套件中加入高權限腳本(如 COM 註冊):改用系統管理工具(Intune / GPO / SCCM)處理。
  1. 防止伺服器 & 基礎架構被入侵(App‑V 官方強烈提醒)
App‑V 官方文件強調:任何能實體或遠端存取 App‑V Server 的人,都可能攻擊整個 Client 群。防護方式
  • 鎖定 App‑V Server — 實體安全:放置於受控的機房,有存取紀錄。
  • 維持最新版安全更新:伺服器與客戶端皆需保持 Windows 更新。
  • 最小權限原則:為 App‑V Admin、Server、Database 設定最小角色分層。
  • 隔離 App‑V Server 網路:採 Zero‑Trust / 分段 VLAN。
  1. 確保套件與部署設定安全(App‑V Security Guide 建議)
Microsoft App‑V Security Guide 認為不正確的部署與安全設定會直接影響套件安全性。防護方式
  • 保護 DeploymentConfig.xml / UserConfig.xml:僅允許簽署者修改。
  • 確保 OSD / 套件來源路徑採安全通訊(HTTPS / SMB 簽章)
  • 建立套件簽署流程:包含校驗與完整性檢查。
  1. 防範一般應用程式層級威脅(AppSec 基本要求)
App‑V 雖是虛擬化,但仍面臨典型應用程式安全威脅如:惡意程式注入、程式碼漏洞、API 攻擊(不特定於 App‑V)。防護方式
  • 對封裝進 App‑V 的應用程式做弱點掃描
  • 實施安全程式碼審查(Secure Code Review)
  • 對 App‑V 套件中的 API 呼叫進行安全設計
  • 強化應用程式本身更新與補丁管理
註:
Microsoft Application Virtualization(App‑V) 是一種應用程式虛擬化技術。應用程式被「封裝」成虛擬套件,透過 App‑V Client 在使用者電腦上以隔離的虛擬環境執行,而不需要傳統安裝。在 App‑V 中,你可以在「特定生命週期事件」發生時,執行外部指令或 PowerShell——這些就是 App‑V 腳本。

原文連結:https://hackread.com/fake-captcha-scam-microsoft-tools-amatera-stealer/
 
剖析新型態的偽造 Captcha 驗證詐騙手法,駭客誘使受害者執行惡意 PowerShell 指令以植入 Amatera 竊密軟體。