微软Win10/11“快速助手”应用遭黑客滥用，用于从事钓鱼攻击

IT之家 5 月 16 日消息，安全公司 Rapid7 近日发布新闻稿，宣布微软 Windows 内置的“快速助手”应用已经遭到黑客滥用，黑客首先获取一批受害者信息，之后利用垃圾邮件轰炸相关受害者邮箱，然后再拨打邮箱主电话冒充安全公司声称“能够提供协助”，诱骗用户使用系统内置的远程管理软件与黑客展开通信，继而深度入侵用户设备。

安全公司表示，相关黑客可能是勒索软件黑客组织 Black Basta 的成员，从 4 月中旬起，这些黑客通过网络钓鱼引诱受害者上当，之后要求受害者按下快捷键 CTRL+Win+Q 启动快速助手并输入安全验证码，由于相关功能集成在 Windows 中，因此也能够维持受害者的信任。

在成功使用“快速助手”应用控制受害者电脑后，黑客将会通过 cURL 命令下载一系列批处理文件或 ZIP 压缩文件，在用户设备上部署 ScreenConnect、NetSupport Manager 等远程管理工具、恶意程序 QBot、渗透测试工具 Cobalt Strike 以及各种勒索软件；在部分攻击行动中，黑客还使用 OpenSSH 建立 SSH 隧道，以便在受害者网络环境中持续行动。

IT之家注意到，微软在 Windows 10 中引入了“快速助手”应用，主要用于技术人员通过互联网远程协助用户排除问题，不过微软最早在 Windows XP 操作系统中就提供类似了功能，当时称为“Windows 远程协助（Windows Remote Assistance）”，但直到现在才有黑客陆续滥用相关功能进行攻击。