网络安全研究人员警告说,随着威胁行为者继续滥用 Cloudflare 和 Microsoft Sway 等合法服务,使用名为 Webflow 的建站工具创建的钓鱼网页数量激增。
Netskope威胁实验室研究员扬-迈克尔-阿尔坎塔拉(Jan Michael Alcantara)在一份分析报告中说:“这些活动的目标是来自不同加密钱包的敏感信息,包括Coinbase、MetaMask、Phantom、Trezor和Bitbuy,以及多个公司网络邮件平台的登录凭证和微软365的登录凭证。”
这家网络安全公司称,它追踪到,2024 年 4 月至 9 月间,使用 Webflow 制作的钓鱼网页流量增加了 10 倍,攻击目标遍布全球 120 多个组织。其中大部分攻击目标位于北美和亚洲,涉及金融服务、银行和技术领域。
据观察,攻击者利用 Webflow 创建独立的网络钓鱼网页,并将毫无戒心的用户重定向到他们控制的其他网络钓鱼网页。
Michael Alcantara 说:“前者为攻击者提供了隐蔽性和便利性,因为没有钓鱼代码行需要编写和检测,而后者则为攻击者提供了灵活性,可以根据需要执行更复杂的操作。”
Webflow 比 Cloudflare R2 或 Microsoft Sway 更吸引人的地方在于,它允许用户免费创建自定义子域,而不是容易引起怀疑的自动生成随机字母数字子域。
- Cloudflare R2 – https://pub-<32_alphanumeric_string>.r2.dev/webpage.htm
- Microsoft Sway – https://sway.cloud.microsoft/{16_alphanumeric_string}?ref={sharing_option}
为了增加攻击成功的可能性,钓鱼网页被设计成模仿合法对应网页的登录页面,以欺骗用户提供他们的凭据,然后在某些情况下,这些凭据会被外泄到不同的服务器上。
Netskope 表示,它还发现了一些 Webflow 加密诈骗网站,这些网站使用合法钱包主页的截图作为自己的登陆页面,访问者点击假网站上的任何地方后都会重定向到实际的诈骗网站。
加密网络钓鱼活动的最终目的是窃取受害者的种子短语,使攻击者能够劫持加密货币钱包的控制权并盗取资金。
在网络安全公司确定的攻击中,最终提供恢复短语的用户会看到一条错误信息,称其账户因 “未经授权的活动和身份验证失败 ”而被暂停。该信息还提示用户通过在 tawk.to 上发起在线聊天来联系他们的支持团队。
值得注意的是,LiveChat、Tawk.to 和 Smartsupp 等聊天服务已被滥用,成为 Avast 称为 CryptoCore 的加密货币诈骗活动的一部分。
迈克尔-阿尔坎塔拉说:“用户在访问银行门户网站或网络邮件等重要页面时,应始终在网络浏览器中直接输入网址,而不是使用搜索引擎或点击任何其他链接。”
就在网络犯罪分子在暗网上大肆宣传新型反僵尸服务的同时,这项服务声称可以绕过谷歌 Chrome 浏览器上的安全浏览警告。
SlashNext在最近的一份报告中说:“反僵尸服务,如Otus Anti-Bot、Remove Red和Limitless Anti-Bot,已经成为复杂网络钓鱼行动的基石。“这些服务旨在防止安全爬虫识别网络钓鱼网页并将其屏蔽。”
“这些工具通过过滤网络安全机器人和伪装网络钓鱼网页,延长了恶意网站的生命周期,帮助犯罪分子更长时间地逃避检测。”
还发现正在进行的恶意垃圾邮件和恶意广告活动在传播一种名为 WARMCOOKIE(又名 BadSpace)的不断演变的恶意软件,该恶意软件随后成为 CSharp-Streamer-RAT 和 Cobalt Strike 等恶意软件的传播渠道。
“WarmCookie 为对手提供了各种有用的功能,包括有效载荷部署、文件操作、命令执行、屏幕截图收集和持久性,这使得它在获得初始访问权限后就能在系统中使用,以方便在被入侵的网络环境中进行长期、持久的访问,”Cisco Talos 说。
对源代码的分析表明,该恶意软件很可能是由与Resident相同的威胁参与者开发的,Resident是一种入侵后植入程序,与Rhadamanthys信息窃取程序一起部署在被称为TA866(又名Asylum Ambuscade)的入侵程序集中。这些活动主要针对制造业,紧随其后的是政府和金融服务业。
“Talos说:”虽然与传播活动相关的长期目标似乎是不加区分的,但观察到后续有效载荷的大多数案例都发生在美国,其他案例遍布加拿大、英国、德国、意大利、奥地利和荷兰。”
发表评论
您还未登录,请先登录。
登录