重出水面:伊朗布景歹意安排新式 *** 垂钓进犯剖析

访客5年前关于黑客接单873

一、概述
*** 垂钓进犯,向来是具有伊朗布景的歹意安排用于获取账户的最常见浸透 *** 。CERTFA剖析了该歹意安排最新的 *** 垂钓进犯活动,该进犯被称为“诱人小猫的归来”(The Return of The Charming Kitten)。
在此次歹意活动中,歹意安排首要针对参加对伊朗经济和军事制裁的安排,以及国际范围内的特定政治家、公民、人权活动家和记者。
经过CERTFA的查询标明,进犯者清晰清楚受害者会运用两步验证(Two-step Verification),包含验证码和电子邮件帐户(例如Yahoo!和Gmail)。依据这一点,CERTFA以为,这些进犯的最有用办法,便是运用YubiKey等安全密钥。
二、布景
在2019年10月初,Twitter用户 @MD0ugh 发现一群伊朗黑客针对美国金融机构基础设施进行 *** 垂钓进犯。据这名用户说,这些突击可能是针对美国对伊朗新一轮制裁的反击。
该用户初次提到了地址为accounts[-]support[.]services的域名,该域名与伊朗 *** 支撑的一个黑客安排有关,咱们信赖这些黑客与 *** 革新卫队(IRGC)关系密切。ClearSky此前现已发布有关其活动的详细陈述。
在这些进犯发作的一个月后,accounts-support[.]services的办理员就扩展了他们的活动范围,而且开端针对民权与人权活动家、政治人物、伊朗和西方的记者发起进犯。
三、进犯办法
咱们的查询标明,进犯者正在运用不同的 *** 进行进犯,这些 *** 能够大致分为两类:
1、经过不知道的电子邮件、交际媒体、音讯帐号进行 *** 垂钓进犯。
2、进犯者首要攻陷公众使命的电子邮件、交际媒体、音讯帐号,然后运用它们进行 *** 垂钓进犯。
咱们还发现,进犯者在进行 *** 垂钓进犯之前,首要收集了有关其方针的信息。进犯者依据方针的 *** 常识水平、联系人、活动、工作时间和地理位置,为每个方针设置了详细的方案。
咱们还注意到,与此前的 *** 垂钓活动不同,在某些情况下,进犯者在最新一轮进犯中,没有更改受害者帐户的暗码。这样一来,进犯者的进犯行为就能够尽可能荫蔽,一起也能经过邮箱实时监控受害者的电子邮件通讯。
3.1 发送“未经授权拜访”的虚伪正告
依据 *** 垂钓进犯的样本,咱们发现进犯者用于诈骗方针的首要技巧是经过邮件 *** 发送虚伪的警报。发件人包含 notifications.mailservices@gmail[.]com 、 noreply.customermails@gmail[.]com 、 customer]email-delivery[.]info 等等,邮件内容大致是阐明未经授权的个人企图拜访用户的帐户。

经过运用这种手法,进犯者伪装电子邮件供给商,向方针发送安全警报,并诱导用户当即点击检查并约束能够拜访。在方针链接部分供给了更多的详细信息。
3.2 伪装成Google云盘上的文件同享
发送带有标题的链接(例如来自Google云盘的同享文件)是黑客近年来常常运用的技巧之一。与之前的进犯比较,这些进犯的共同之处是在于它们运用Google Site,其答应进犯者展现Google Drive的虚伪下载页面,并诱运用户以为它是一个真实的Google Drive页面。

例如,进犯者运用hxxps://sites.google[.]com/view/sharingdrivesystem来诈骗用户,并压服他们该网页是真实的Google云盘,用户也能够在浏览器的地址栏中看到“google.com”的字样。CERTFA现已陈述此链接,以及其他与Google类似的链接,现在这些链接现已被整理。
经过创立具有相同规划和外观的Google云盘文件同享页面,进犯者能够伪装与用户同享文件,诱导用户下载文件并在其设备上运转。随后,进犯者运用其攻陷的Twitter、Facebook和Telegram帐户发送歹意链接,并进一步传播给新的用户。现实上,这一进程中没有任何文件发生,进犯者运用这一页面将其方针定向到假的Google登录页面,诱运用户输入他们的凭据详细信息,包含双要素身份验证。
四、进犯结构
现在来说,大多数进犯都是经过 *** 垂钓邮件来完成的。因而,在最近的 *** 垂钓歹意活动中,检查原始邮件会对咱们的剖析进程很有协助。

4.1 方针链接
1、值得信赖的阶段:全球互联网用户都以为Google的主域名(google.com)是一个安全可靠的地址。但进犯者乱用这一现实,在sites.google.com(Google的子域名)上创立虚伪页面,来诈骗群众。Google的网站服务运用户能够在上面显现各种内容。进犯者假如运用此功用发送虚伪警报,并将方针重定向到不安全的网站,或许将嵌入式 *** 垂钓页面作为页面上的iframe。

2、不受信赖的阶段:因为Google能够快速辨认并删去sites.google.com上的可疑链接和歹意链接,因而进犯者也能够运用自己的网站。 *** 垂钓网站的链接与曩昔几年的前期 *** 垂钓活动具有类似的形式。例如,进犯者会在域名和 *** 垂钓URL中运用比如“办理”、“自定义”、“服务”、“标识”、“会话”、“承认”这类字词,来诈骗想要验证其网站地址的用户。
4.2 电子邮件中可点击的图画
为了绕过Google的安全体系和反 *** 垂钓体系,进犯者在他们的电子邮件正文中运用了图画,以此来替换文本。为此,进犯者还运用Firefox Screenshot4等第三方软件来保管他们的电子邮件图画。

[1] [2]  黑客接单网

相关文章

她已婚有个女儿,她老公爱赌博所以想离婚和我在一

root@vultr:~# cat check ④ SpoolService的bug导致Exchange服务器回连到ntlmrelayx.py,即将认证信息发送到ntlmrelayx.py。 可以在下...

如何找正规的黑客(先办事后付款的黑客)

如何找正规的黑客(先办事后付款的黑客)

【编者按】黑客是对任何计算机操作系统的神秘工作方式非常感兴趣的人。黑客通常是程序员。他们收集操作系统和编程语言的高级知识,找出系统的外部漏洞以及这些漏洞的原因。 如何找正规的黑客(先办事后付款...

破解rar密码,网上找黑客可靠吗,找黑客拿別人微信資料能信

Signed Applet Attack运用java自签名的程序进行垂钓进犯; $stmt->execute();图1测验方针站点-u UDP 形式_ba = a[i]; {...

微信可以定位吗,学习黑客技术联系方式有吗,怎么找黑客下单

要害字:sad Raven’s Guestbook[1][2]黑客接单渠道1、到Google搜索,site:cq.cn inurl:asp图8 CVE-2013-2551代码二、木马程序剖析有了解了G...

ETC黑客接单_有没有人找黑客要回网赌的钱

MarkAsForeignEntry(int32 host_id,怎么翻开日志记载功用政企单位防备勒索病毒主张从七个方面着手,即及时更新最新的补丁库、根绝弱口令、重要材料定时阻隔备份、进步网络安全基线...

看我怎么发现Chrome浏览器阅览辅佐插件SOP绕过缝隙

本文叙述的是作者发现谷歌浏览器Chrome阅览辅佐插件(Read&Write Chrome extension)1.8.0.139版别同源战略(SOP)绕过缝隙的进程。该缝隙在于Read&a...