Heatstrok惡意活動利用多階段網路釣魚攻擊,專竊取PayPal和信用卡資訊

雖然網路釣魚活動在2019年上半年顯得較為平靜，但它仍是網路犯罪分子的主要攻擊武器。最新的例子是Heatstroke網路釣魚(Phishing)活動。

Heatstroke使用了圖像隱碼術(Steganography)等複雜的技術，不只是冒用合法網站等多樣化的社交工程手法。Heatstroke操作者鎖定受害者的私人郵件地址，尤其是免費信箱,其中包括了科技產業的主管和員工。由於免費信箱安全防護和垃圾郵件過濾機制比較薄弱,而且私人郵件也常被用來驗證社群媒體和電子商務網站，以及作為Gmail和企業帳號的備用帳號。特別是Gmail帳號；取得權限的攻擊者也可以存取受害者的Google雲端硬碟，甚至可能會危及連結帳號的Android裝置。因此，跟防護較高的企業郵件帳號比起來，這些免費郵件帳號是攻擊者偵察及收集目標情報更好的起點。

Heatstroke攻擊鏈

Heatstroke操作者使用下列策略來隱藏自己的踪跡：

• 多階段網路釣魚攻擊。為了避免起疑，攻擊者並不會著急。跟通常只用單一網頁進行的釣魚攻擊比起來，Heatstroke試圖用多階段作法去模仿合法網站，讓目標受害者不會感受到不妥之處。
• 混淆蹤跡。釣魚套件內容是從另一個位置轉發，但會被偽裝成來自登錄頁面。登錄頁面也會不斷變動來繞過內容過濾器。釣魚套件還能夠封鎖IP範圍、爬蟲服務甚至是漏洞掃描程式這類安全工具。如果從攻擊者列入黑名單的位置、瀏覽器、IP地址或國家/地區進行連線，則該網頁不會顯示內容（出現HTTP 404錯誤），或是內容會從其他位置轉發。釣魚套件的第一個網頁是由Base64編碼的PHP腳本產生，來躲避或繞過防火牆。
• 網路釣魚即服務。我們看到了另一團隊購買此套件來進行自己的網路釣魚攻擊。該套件開發者甚至為此團隊分配專屬的API金鑰。顯示出這些攻擊活動包含了客戶、操作者和開發者等角色。
• 自我感知的釣魚套件。釣魚頁面內容會根據使用者/訪客屬性動態產生。網頁原始碼內藏了一篇像是童話的故事。可能是開發者想表明自己知道研究人員會查看他的原始碼。
• 試圖顯得合法。會根據受害者來從該國網域寄送網路釣魚攻擊。在趨勢科技分析的案例裡，用於攻擊的網域曾屬於合法商家但後來被出售。

被偷的帳密會用圖像隱碼術(Steganography)（將資料隱藏或嵌入到圖檔裡）送到特定的郵件地址。我們在研究過程中監測到兩個相似的釣魚套件 – 一個針對Amazon使用者，另一個則會竊取PayPal帳密。