Proofpoint 计算机安全研究人员发现了由为伊朗政府工作的黑客发起的新网络钓鱼活动。这些运营商找到了一种新伎俩来诱骗用户下载恶意附件。
网络钓鱼,或者用莫里哀的话来说,网络钓鱼仍然是黑客访问用户数据最常用的技术之一。最近的例子不胜枚举,例如Outlook 上的大规模网络钓鱼活动能够绕过双重身份验证。
另一个例子是 2022 年 7 月底,专业网络安全团队检测到网络钓鱼活动利用 Windows 计算器中的病毒。然而,我们刚刚于 2022 年 9 月 14 日星期三获悉,Proofpoint 的 IT 安全专家发现了一种新的网络钓鱼活动。
根据他们的说法,我们找到了这次行动的起源TA453组合的演员们,与海盗有联系的人伊朗伊斯兰革命卫队。此次活动的核心技术正是“s傀儡”。总而言之,黑客通过电子邮件进行对话,同时将受害者包含在隐藏副本中。目标?诱骗他们下载包含恶意文件的附件。
一种新型网络钓鱼活动
但让我们详细看看该过程:黑客创建多个虚假电子邮件帐户,通过窃取科学家、高管或公司董事的身份。然后,他们向同谋发送一封电子邮件,将受害者放入隐藏副本中。然后对话继续,海盗们确保谈论敏感话题以激发受害者的好奇心。
从受害者的角度来看,他认为自己陷入了一封不适合他的电子邮件线程中。经过几天的交流,附件已发送给其他参与者。如果受害者下载它并在他们的终端上运行它,她得到了一个充满危险宏的 .DOCX 文件。
另请阅读:黑客通过点对点销售网站窃取数百万欧元
“下载的模板由 Proofpoint 命名为 Korg,包含三个宏:Module1.bas、Module2.bas 和 ThisDocument.cls。宏从 my-ip.io 收集用户名、正在运行的进程列表以及用户的公共 IP 等信息,然后使用 Telegram API 窃取这些信息”,研究人员解释道。
Proofpoint 最担心的是这次攻击中使用的所有电子邮件在主要电子邮件提供商上创建,例如 Gmail、Outlook 和 Hotmail。因此,如果您突然发现自己处于陌生人的电子邮件对话中,请务必小心。
