資安公司Fortinet於4月4日發布端點管理平臺FortiClient EMS更新,修補重大等級的資安漏洞CVE-2026-35616,並表示已掌握漏洞遭利用的跡象,本週有資安公司公布新一波攻擊活動,攻擊者企圖向納入該系統管理的端點電腦部署惡意程式。
Arctic Wolf於今年5月發現最新一波惡意活動,駭客利用CVE-2026-35616,針對透過FortiClient EMS管理的端點裝置傳送竊資軟體EKZ Infostealer,此惡意程式的有效酬載被偽裝成Fortinet端點更新檔案(修補程式),但實際的功能是從瀏覽器竊取帳密資料。一旦執行,電腦就會在背景執行PowerShell,並啟動惡意執行檔,發起一系列攻擊流程。由於駭客濫用FortiClient EMS的管理機制,以類似一般管理者操作的方式,向列管的端點電腦推送惡意PowerShell指令碼,因此他們無須個別滲透所有的端點電腦。
EKZ Infostealer以MinGW編譯而成,可從Chrome、Edge等以Chromium為基礎的瀏覽器,以及Firefox與其他採用Gecko排版引擎的瀏覽器擷取資料,內容涵蓋憑證、cookie,以及自動輸入的資料,一旦攻擊者取得這些內容,就有機會存取雲端服務、內部應用程式,以及其他資源,甚至能藉由連線階段(session)的資料繞過多因素驗證(MFA)流程。
