本文分析了一起專門攻擊全球大型企業且利用開放原始碼工具來躲避偵測的變臉詐騙 (BEC) 攻擊行動。

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC)

是一項威脅全球企業的嚴重問題。根據美國聯邦調查局 (FBI) 統計，變臉詐騙對受害者所造成的損失更甚於勒索病毒(勒索軟體,Ransomware)，光 2021 年就在美國造成 24 億美元的損失。根據 FBI 報告，美國人民因勒索病毒、變臉詐騙及金融詐騙所損失的金額高達 69 億美元，其中變臉詐騙就占了一大部分。近期，變臉詐騙集團一直不斷利用合法 SMTP 郵件服務 (如 SendGrid ) 的失竊帳號來散發精心設計的郵件，藉此躲避郵件服務供應商與資安服務的電子郵件過濾功能。透過這些正牌服務，詐騙集團的電子郵件看起來似乎也就變得合法 (儘管是偷來的帳號)。透過這樣的手法，再配合一些網路犯罪工具與開放原始碼工具，就能讓詐騙集團大幅提高變臉詐騙攻擊的成效與成功率。 

2022 年 9 月，趨勢科技研究員發現了一波疑似新的變臉詐騙攻擊正在攻擊全球各地的大型企業，我們認為這波行動最早可追溯至 2022 年 4 月。由於歹徒會仔細挑選其下手目標，並且使用開放原始碼工具，因此這波行動持續了好一段時間而沒被發現。

這波攻擊在電子郵件中夾帶了一個 HTML 檔案，內含經過加密編碼的 JavaScript 腳本。經過我們分析之後研判這應該是一起針對性攻擊，因為其 JavaScript (JS) 及來自伺服器端的 PHP 程式碼當中都啟用了某些功能。

就如同其他典型的變臉詐騙一樣，這波攻擊的第一階段也是利用針對某特定目標使用者的魚叉式網路釣魚 (Spear Phishing )攻擊。歹徒使用了一個惡意的 JavaScript 附件 (趨勢科技命名為「Trojan.JS.DYBBUK.SMG」)，它會將使用者導向一個假冒的 Microsoft 網路釣魚網頁。圖 1 顯示這波攻擊使用的惡意郵件。