Win10/11系统内置“快速助手”应用遭黑客滥用，用于从事钓鱼勒索软件攻击行动

近日，安全公司Rapid7发布新闻稿，指出微软Windows内置的“快速助手”应用已被黑客滥用。黑客首先获取一批受害者的个人信息，然后利用垃圾邮件轰炸这些受害者邮箱，并在之后拨打电话冒充安全公司，诱骗用户使用系统内置的远程管理软件与黑客进行通信，从而深度入侵用户的设备。
Rapid7表示，相关黑客可能是勒索软件黑客组织Black Basta的成员。从4月中旬起，这些黑客通过网络钓鱼方式诱使受害者上当，并要求他们按下快捷键CTRL+Win+Q启动“快速助手”应用并输入安全验证码。由于相关功能集于Windows中，因此可以维持受害者的信任。
成功控制了受害者的电脑后，黑客将通过cURL命令下载一系列批处理文件或ZIP压缩文件，在用户设备上部署ScreenConnect、NetSupport Manager等远程管理工具、恶意程序QBot、渗透测试工具Cobalt Strike以及各种勒索软件。在部分攻击行动中，黑客还使用OpenSSH建立SSH隧道以便在受害者网络环境中持续行动。
微软在Windows 10中引入了“快速助手”应用的主要目的是供技术人员通过互联网远程协助用户排除问题。然而微软早在Windows XP操作系统就提供了类似的功能，当时称为“Windows远程协助（Windows Remote Assistance）”。如今随着黑客开始滥用相关功能进行攻击，这个问题变得日益严重。
为了解决这个问题，微软建议用户更新他们的操作系统和应用程序，并确保其防火墙处于启用状态。同时也要小心点击来自不明来源链接和打开附件的电子邮件附件。如果用户怀疑自己已成为攻击目标，则应该立即停止使用“快速助手”并联系微软以获得进一步帮助。