本站专注区块链信息及金融服务,但不代表任何投?#24335;?#35758;

揭示 :强大网络攻击冰岛于复杂网络钓鱼形式

曲速未来安全区 ·

2018年10月15日

热度: 18597

前?#38382;?#38388;,一场无耻的网络钓鱼活动让冰岛感到惊讶,向成千上万的人发送了恶意电子邮件,企图欺骗他?#21069;?#35013;强大的远程访问工具。


前?#38382;?#38388;,一场无耻的网络钓鱼活动让冰岛感到惊讶,向成千上万的人发送了恶意电子邮件,企图欺骗他?#21069;?#35013;强大的远程访问工具。

?#35789;?#28508;在受害者人数可能看起来很低,当地警?#25581;?#34920;示这是袭击该国的最大网络攻击。人们必须考虑到冰岛的人口约为35万,其中大约一半的公民居住在首都雷?#25628;?#26410;克。相比之下,2016年伦敦的人口超过850万。

攻击者使用同形异义?#35760;?/strong>

袭击事件发生在10月6日星期六晚上,其中有消息冒充冰岛警察。这些电子邮件要求收件人进行询问,并警告他们违规?#24418;?#23548;致发出逮捕令。

一个链接导致了一个欺骗性的L?greglan版本-冰岛警察,似乎提供了更多有关此事的信息。

为了使一切看起来都是真实的,该活动的作者使用同形异义?#35760;?#26469;注册一个看起来像原始“logreglan.is”的域名。


“[...]攻击者注册了域名www.logregian.is - 使用小写“i?#20445;?#20045;一看,可能看起来像小写“L”或“l?#20445;?#30740;究人员在调查期间与警方合作时解释。

他们补充说,消息中的链?#37038;褂们?#25442;小写“i”为大写“i”或“I?#20445;?#25152;以“i”?#23548;?#19978;看起来像一个小的“L”-使它与“logreglan”无法区分几乎所有网络用户。

Remcos RAT再次用于恶意目的

高级威胁分析师在谈到BleepingComputer时说,对于冰岛而言,威胁是一个全新的威胁,指的是网络钓鱼计划的复杂性。

攻击者使用的工具是Remcos,这是一种功能强大的工具,可作为访问远程计算机的合法解决方案,之前用于恶意目的。

研究人员告诉我们,攻击中使用的版本是2.0.7 Pro,它提供对其运行的工作站的完全访问权限。

远程访问工具(RAT)的开发人员意识到他的Remcos有时被用于恶意目的,并告诉安全研究人员,因此实施了一种机制来防止滥用。

复杂的网络钓鱼计划

网络钓鱼邮件中的链接将受害者带?#25581;?#20010;模仿冰岛警方官方网站几乎完美的网站,并要求用户输入他们的社会安全号码(SSN)。

?


在冰岛,可以通过银行提供的服务对名称和SSN进行公开咨询,因此个人必须登录当地银行的在线帐户才能执行此程序。

如果用户输入了错误的SSN,则合法服务会显示提示进行更正的警报。网络钓鱼网站无法验证数字的真实性,因此他们通常会?#37038;?#29992;户输入的任何信息。

但是,在此活动的情况下,攻击者能够以某种方式检查数字的?#34892;?#24615;,从而增加了欺骗性。一种理论是他们使用的是过去泄露的数据库。

陷阱很难避免

攻击者建立了一个复杂的网络钓鱼方案,普通用户很难检测到。

虚假的冰岛警方网站要求受害者输入他们在网络钓鱼邮件中收到的身份验证码,以获取有关针对他们的警方案件的更多详?#24863;?#24687;。

?


在下一步中,受害者在受密码保护的档案中?#37038;账?#35859;的文件,并在网?#25104;?#25552;供密钥,该密钥?#23548;?#19978;是用于窃取信息并允许攻击者远程访问受害计算机的打包RAT。

为冰岛人量身定制的运动

“提取的.rar文件是一个.scr文件(Windows屏幕保护程序)伪装成一个长文字的文档,因此文件扩展名是隐藏的。文件名是'Boeunískyrslut?kuLRH30óktóber.scr',大致翻译为“10月30日被警方打电话询问,”研究人员指出。

对RAT的分析表明,设置?#37038;?#34987;盗数据的命令和控制(C2)服务器位于德国和荷兰。

研究人员发现,攻击者利用Remcos窃取银行信息,因为它检查受害者是否可以访问冰岛最大的银行。

此时攻击者仍然不为人知,但警方认为该活动是熟悉冰岛行政?#20302;?#30340;人的工作。电子邮件和虚假网站上的文?#31181;?#25345;这一理论。

针对该活动的防御?#20174;?#38750;常迅速,登?#25581;?#38754;的域名在检测到攻击后的第二天被删除。

在袭击期间发送了数以千计的恶意电子邮件,但警方没有发布有关受害者人数的任何信息。

研究人员表示,被网络钓鱼计划所欺骗的人不得不改变他们的所有密码,并格式化他们的计算机。

区块链安全咨询公司 曲速未来 表示:据了解到,网络钓鱼攻击仅依赖于Remcos远程访问工具来窃取信息,目标银行在冰岛,并为攻击者提供远程访问受感染计算机的权限。


文章声明:本文为火星财经专栏作者作品,不代表火星财经观点,版权归作者所有,如需转载,请提前联系作者或注明出处。

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。转载请注明出处、作者和本文链接
提示:投资有风险,入?#34892;?#35880;慎。本资讯不作为投资理财建议。
语音技术由科大讯飞提供
关键字: 密钥 网络钓鱼

推广
相关新闻

涨幅榜

你可能感兴趣的内容
下一篇

曲速未来:发?#20013;?#30340;Android应用程序挖掘无法发现的东西

寻求报道 寻求融资 APP下载
APP下载 扫描下载APP
新疆18选7开奖结果