Gabagool: 利用 Cloudflare R2 的复杂网络钓鱼工具包

阅读量21741

发布时间 : 2024-11-20 14:17:42

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/gabagool-a-sophisticated-phishing-kit-exploiting-cloudflare-r2/

译文仅供参考,具体内容表达以及含义原文为准。

Gabagool Phishing Kit

TRAC Labs 在一份详细的分析报告中揭露了一个名为 Gabagool 的网络钓鱼活动,其目标是企业和政府员工。该活动利用 Cloudflare R2 存储服务的信誉绕过安全措施。

Gabagool 通过入侵员工的电子邮件帐户开始其感染链。被入侵的账户会向其他员工发送钓鱼邮件,在图片或文档中嵌入恶意链接。例如,图片可能标注为 “已收到新传真文档”,其中嵌入的 URL 会引导受害者访问 SharePoint 或 Box 等看似合法的文件共享平台。

“这些电子邮件会提示收件人查看电子邮件中伪装成文档的附件图片。图片中嵌入了一个恶意 URL 短链,利用 tiny.cc 和 tiny.pl,其中包含一个重定向链”。


重定向 URL | 图片: TRAC 实验室

然而,这些重定向会指向托管在 Cloudflare R2 桶中的钓鱼网页。报告指出:“威胁行为者可以通过在这些桶中托管恶意内容或钓鱼登陆页面,利用 Cloudflare 的可信声誉绕过安全过滤器,从而滥用 Cloudflare R2 桶进行钓鱼。”

Gabagool 网络钓鱼工具包采用混淆的 JavaScript 和复杂的僵尸检测机制来规避安全措施。主要功能包括

  • 僵尸检测: 钓鱼页面使用检测无头浏览器(如 Selenium)、监控鼠标移动和测试禁用 cookies 等检查手段。如果怀疑有僵尸活动,就会将用户重定向到合法网站。
  • 凭证收集: 一旦用户通过了僵尸检查,网络钓鱼页面就会加载凭证收集表单。收集到的凭据在发送到攻击者控制的服务器之前会使用 AES 加密。

Gabagool 活动已经影响了许多组织,尤其是金融和政府等行业。它使用先进的规避技术和可信平台,使其成为一个危险的威胁。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66