重出水面:伊朗布景歹意安排新式 *** 垂钓进犯剖析

访客5年前关于黑客接单881

一、概述
*** 垂钓进犯,向来是具有伊朗布景的歹意安排用于获取账户的最常见浸透 *** 。CERTFA剖析了该歹意安排最新的 *** 垂钓进犯活动,该进犯被称为“诱人小猫的归来”(The Return of The Charming Kitten)。
在此次歹意活动中,歹意安排首要针对参加对伊朗经济和军事制裁的安排,以及国际范围内的特定政治家、公民、人权活动家和记者。
经过CERTFA的查询标明,进犯者清晰清楚受害者会运用两步验证(Two-step Verification),包含验证码和电子邮件帐户(例如Yahoo!和Gmail)。依据这一点,CERTFA以为,这些进犯的最有用办法,便是运用YubiKey等安全密钥。
二、布景
在2019年10月初,Twitter用户 @MD0ugh 发现一群伊朗黑客针对美国金融机构基础设施进行 *** 垂钓进犯。据这名用户说,这些突击可能是针对美国对伊朗新一轮制裁的反击。
该用户初次提到了地址为accounts[-]support[.]services的域名,该域名与伊朗 *** 支撑的一个黑客安排有关,咱们信赖这些黑客与 *** 革新卫队(IRGC)关系密切。ClearSky此前现已发布有关其活动的详细陈述。
在这些进犯发作的一个月后,accounts-support[.]services的办理员就扩展了他们的活动范围,而且开端针对民权与人权活动家、政治人物、伊朗和西方的记者发起进犯。
三、进犯办法
咱们的查询标明,进犯者正在运用不同的 *** 进行进犯,这些 *** 能够大致分为两类:
1、经过不知道的电子邮件、交际媒体、音讯帐号进行 *** 垂钓进犯。
2、进犯者首要攻陷公众使命的电子邮件、交际媒体、音讯帐号,然后运用它们进行 *** 垂钓进犯。
咱们还发现,进犯者在进行 *** 垂钓进犯之前,首要收集了有关其方针的信息。进犯者依据方针的 *** 常识水平、联系人、活动、工作时间和地理位置,为每个方针设置了详细的方案。
咱们还注意到,与此前的 *** 垂钓活动不同,在某些情况下,进犯者在最新一轮进犯中,没有更改受害者帐户的暗码。这样一来,进犯者的进犯行为就能够尽可能荫蔽,一起也能经过邮箱实时监控受害者的电子邮件通讯。
3.1 发送“未经授权拜访”的虚伪正告
依据 *** 垂钓进犯的样本,咱们发现进犯者用于诈骗方针的首要技巧是经过邮件 *** 发送虚伪的警报。发件人包含 notifications.mailservices@gmail[.]com 、 noreply.customermails@gmail[.]com 、 customer]email-delivery[.]info 等等,邮件内容大致是阐明未经授权的个人企图拜访用户的帐户。

经过运用这种手法,进犯者伪装电子邮件供给商,向方针发送安全警报,并诱导用户当即点击检查并约束能够拜访。在方针链接部分供给了更多的详细信息。
3.2 伪装成Google云盘上的文件同享
发送带有标题的链接(例如来自Google云盘的同享文件)是黑客近年来常常运用的技巧之一。与之前的进犯比较,这些进犯的共同之处是在于它们运用Google Site,其答应进犯者展现Google Drive的虚伪下载页面,并诱运用户以为它是一个真实的Google Drive页面。

例如,进犯者运用hxxps://sites.google[.]com/view/sharingdrivesystem来诈骗用户,并压服他们该网页是真实的Google云盘,用户也能够在浏览器的地址栏中看到“google.com”的字样。CERTFA现已陈述此链接,以及其他与Google类似的链接,现在这些链接现已被整理。
经过创立具有相同规划和外观的Google云盘文件同享页面,进犯者能够伪装与用户同享文件,诱导用户下载文件并在其设备上运转。随后,进犯者运用其攻陷的Twitter、Facebook和Telegram帐户发送歹意链接,并进一步传播给新的用户。现实上,这一进程中没有任何文件发生,进犯者运用这一页面将其方针定向到假的Google登录页面,诱运用户输入他们的凭据详细信息,包含双要素身份验证。
四、进犯结构
现在来说,大多数进犯都是经过 *** 垂钓邮件来完成的。因而,在最近的 *** 垂钓歹意活动中,检查原始邮件会对咱们的剖析进程很有协助。

4.1 方针链接
1、值得信赖的阶段:全球互联网用户都以为Google的主域名(google.com)是一个安全可靠的地址。但进犯者乱用这一现实,在sites.google.com(Google的子域名)上创立虚伪页面,来诈骗群众。Google的网站服务运用户能够在上面显现各种内容。进犯者假如运用此功用发送虚伪警报,并将方针重定向到不安全的网站,或许将嵌入式 *** 垂钓页面作为页面上的iframe。

2、不受信赖的阶段:因为Google能够快速辨认并删去sites.google.com上的可疑链接和歹意链接,因而进犯者也能够运用自己的网站。 *** 垂钓网站的链接与曩昔几年的前期 *** 垂钓活动具有类似的形式。例如,进犯者会在域名和 *** 垂钓URL中运用比如“办理”、“自定义”、“服务”、“标识”、“会话”、“承认”这类字词,来诈骗想要验证其网站地址的用户。
4.2 电子邮件中可点击的图画
为了绕过Google的安全体系和反 *** 垂钓体系,进犯者在他们的电子邮件正文中运用了图画,以此来替换文本。为此,进犯者还运用Firefox Screenshot4等第三方软件来保管他们的电子邮件图画。

[1] [2]  黑客接单网

相关文章

网上找的黑客要求我先付钱,我质疑对方的可信度,

远程桌面服务成功利用此漏洞的攻击者可以在目标系统上执行任意代码,然后攻击者可以安装恶意程序,进而查看、更改或删除目标设备上的数据,甚至创建具有完全用户权限的新帐户。 网上找的黑客要求我先付钱,我质疑对...

黑客接单靠谱吗_怎么在qq上找专业黑客

不久之前,Kubernetes被爆出了首个高危的安全漏洞,但进犯者肯定不会只把注意力放在Kubernetes的身上,例如Docker实例、MongoDB服务器、ElasticSearch、AWS、Az...

好紧好爽,找黑客找回账号,找黑客手机号码定位软件下载

大局审计到存在SQL注入的当地,变量没有过滤(双引号,addslash)SCK(CLK):时钟信号,由主设备发作。 4、特征(Signature):在文件中搜索已知的歹意代码字符串片段;Step 2h...

俄罗斯黑客接单,手机被黑客锁了找客服,被骗后找 黑客 追损的想法不靠谱

关键词:NewAsp SiteManageSystem Version都是默许数据库地址翻开方针网站,然后在浏览器中将本机设为代理服务器,端口号8080。 这样一切经过浏览器发往网上的数据都将被Bur...

Game-of-Thrones-CTF-1.0靶机实战演练

0×01 前语 这个靶机的主题是“权力的游戏”,难度在中高水平,方针是取得七国的flag和四个额定的flag,其间包含三个secret flag和一个final flag,需求一点《权力的游戏》的常识...

梦见赌钱输了别人又给赢回来了

1. 部署主动检测方式;http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-k...