Heatstrok惡意活動利用多階段網路釣魚攻擊,專竊取PayPal和信用卡資訊
雖然網路釣魚活動在2019年上半年顯得較為平靜,但它仍是網路犯罪分子的主要攻擊武器。最新的例子是Heatstroke網路釣魚(Phishing)活動。
Heatstroke使用了圖像隱碼術(Steganography)等複雜的技術,不只是冒用合法網站等多樣化的社交工程手法。Heatstroke操作者鎖定受害者的私人郵件地址,尤其是免費信箱,其中包括了科技產業的主管和員工。由於免費信箱安全防護和垃圾郵件過濾機制比較薄弱,而且私人郵件也常被用來驗證社群媒體和電子商務網站,以及作為Gmail和企業帳號的備用帳號。特別是Gmail帳號;取得權限的攻擊者也可以存取受害者的Google雲端硬碟,甚至可能會危及連結帳號的Android裝置。因此,跟防護較高的企業郵件帳號比起來,這些免費郵件帳號是攻擊者偵察及收集目標情報更好的起點。
Heatstroke攻擊鏈
Heatstroke操作者使用下列策略來隱藏自己的踪跡:
- 多階段網路釣魚攻擊。為了避免起疑,攻擊者並不會著急。跟通常只用單一網頁進行的釣魚攻擊比起來,Heatstroke試圖用多階段作法去模仿合法網站,讓目標受害者不會感受到不妥之處。
- 混淆蹤跡。釣魚套件內容是從另一個位置轉發,但會被偽裝成來自登錄頁面。登錄頁面也會不斷變動來繞過內容過濾器。釣魚套件還能夠封鎖IP範圍、爬蟲服務甚至是漏洞掃描程式這類安全工具。如果從攻擊者列入黑名單的位置、瀏覽器、IP地址或國家/地區進行連線,則該網頁不會顯示內容(出現HTTP 404錯誤),或是內容會從其他位置轉發。釣魚套件的第一個網頁是由Base64編碼的PHP腳本產生,來躲避或繞過防火牆。
- 網路釣魚即服務。我們看到了另一團隊購買此套件來進行自己的網路釣魚攻擊。該套件開發者甚至為此團隊分配專屬的API金鑰。顯示出這些攻擊活動包含了客戶、操作者和開發者等角色。
- 自我感知的釣魚套件。釣魚頁面內容會根據使用者/訪客屬性動態產生。網頁原始碼內藏了一篇像是童話的故事。可能是開發者想表明自己知道研究人員會查看他的原始碼。
- 試圖顯得合法。會根據受害者來從該國網域寄送網路釣魚攻擊。在趨勢科技分析的案例裡,用於攻擊的網域曾屬於合法商家但後來被出售。
被偷的帳密會用圖像隱碼術(Steganography)(將資料隱藏或嵌入到圖檔裡)送到特定的郵件地址。我們在研究過程中監測到兩個相似的釣魚套件 – 一個針對Amazon使用者,另一個則會竊取PayPal帳密。
繼續閱讀
