区块链安全咨询公司 曲速未来 消息:前段时间,一场无耻的网络钓鱼活动让冰岛感到惊讶,向成千上万的人发送了恶意电子邮件,企图欺骗他们安装强大的远程访问工具。
即使潜在受害者人数可能看起来很低,当地警方也表示这是袭击该国的最大网络攻击。人们必须考虑到冰岛的人口约为35万,其中大约一半的公民居住在首都雷克雅未克。相比之下,2016年伦敦的人口超过850万。
攻击者使用同形异义技巧
袭击事件发生在10月6日星期六晚上,其中有消息冒充冰岛警察。这些电子邮件要求收件人进行询问,并警告他们违规行为导致发出逮捕令。
一个链接导致了一个欺骗性的Lögreglan版本-冰岛警察,似乎提供了更多有关此事的信息。
为了使一切看起来都是真实的,该活动的作者使用同形异义技巧来注册一个看起来像原始“logreglan.is”的域名。
“[...]攻击者注册了域名www.logregian.is - 使用小写“i”(乍一看,可能看起来像小写“L”或“l”),”研究人员在调查期间与警方合作时解释。
他们补充说,消息中的链接使用切换小写“i”为大写“i”或“I”,所以“i”实际上看起来像一个小的“L”-使它与“logreglan”无法区分几乎所有网络用户。
Remcos RAT再次用于恶意目的
高级威胁分析师在谈到BleepingComputer时说,对于冰岛而言,威胁是一个全新的威胁,指的是网络钓鱼计划的复杂性。
攻击者使用的工具是Remcos,这是一种功能强大的工具,可作为访问远程计算机的合法解决方案,之前用于恶意目的。
研究人员告诉我们,攻击中使用的版本是2.0.7 Pro,它提供对其运行的工作站的完全访问权限。
远程访问工具(RAT)的开发人员意识到他的Remcos有时被用于恶意目的,并告诉安全研究人员,因此实施了一种机制来防止滥用。
复杂的网络钓鱼计划
网络钓鱼邮件中的链接将受害者带到一个模仿冰岛警方官方网站几乎完美的网站,并要求用户输入他们的社会安全号码(SSN)。
在冰岛,可以通过银行提供的服务对名称和SSN进行公开咨询,因此个人必须登录当地银行的在线帐户才能执行此程序。
如果用户输入了错误的SSN,则合法服务会显示提示进行更正的警报。网络钓鱼网站无法验证数字的真实性,因此他们通常会接受用户输入的任何信息。
但是,在此活动的情况下,攻击者能够以某种方式检查数字的有效性,从而增加了欺骗性。一种理论是他们使用的是过去泄露的数据库。
陷阱很难避免
攻击者建立了一个复杂的网络钓鱼方案,普通用户很难检测到。
虚假的冰岛警方网站要求受害者输入他们在网络钓鱼邮件中收到的身份验证码,以获取有关针对他们的警方案件的更多详细信息。
在下一步中,受害者在受密码保护的档案中接收所谓的文件,并在网页上提供密钥,该密钥实际上是用于窃取信息并允许攻击者远程访问受害计算机的打包RAT。
为冰岛人量身定制的运动
“提取的.rar文件是一个.scr文件(Windows屏幕保护程序)伪装成一个长文字的文档,因此文件扩展名是隐藏的。文件名是'BoðunískýrslutökuLRH30Óktóber.scr',大致翻译为“10月30日被警方打电话询问,”研究人员指出。
对RAT的分析表明,设置接收被盗数据的命令和控制(C2)服务器位于德国和荷兰。
研究人员发现,攻击者利用Remcos窃取银行信息,因为它检查受害者是否可以访问冰岛最大的银行。
此时攻击者仍然不为人知,但警方认为该活动是熟悉冰岛行政系统的人的工作。电子邮件和虚假网站上的文字支持这一理论。
针对该活动的防御反应非常迅速,登陆页面的域名在检测到攻击后的第二天被删除。
在袭击期间发送了数以千计的恶意电子邮件,但警方没有发布有关受害者人数的任何信息。
研究人员表示,被网络钓鱼计划所欺骗的人不得不改变他们的所有密码,并格式化他们的计算机。
区块链安全咨询公司 曲速未来 表示:据了解到,网络钓鱼攻击仅依赖于Remcos远程访问工具来窃取信息,目标银行在冰岛,并为攻击者提供远程访问受感染计算机的权限。