引言
网络钓鱼依然是网络安全领域最持久且最具适应性的威胁之一。网络犯罪分子冒充信誉良好的IT公司进行钓鱼攻击,利用这些品牌建立的信任来针对受影响的公司及其客户,这已是常见且普遍的做法。最初简单的社会工程学攻击,如今已发展成一个角色明确、工具可扩展、变现迅速的网络犯罪经济。
通过对地下生态系统的持续监控,Group-IB的威胁情报与调查团队近期发现了一个复杂的钓鱼框架,其细节惊人地展示了这一演变过程。
被分析的攻击工具包经过专门设计,用于冒充意大利IT和网络服务提供商Aruba S.p.A.,该公司深度嵌入意大利的数字基础设施,为超过540万客户提供服务。这样的目标具有巨大的回报价值:入侵单个账户就可能暴露关键的业务资产,从托管的网站到域名控制和电子邮件环境。
Group-IB研究人员深入剖析了这个钓鱼工具包,发现它不仅仅是一个克隆的网页——它是一个为实现效率和隐蔽性而设计的全自动、多阶段平台。它采用CAPTCHA过滤来规避安全扫描,预填充受害者数据以增加可信度,并使用Telegram机器人来回传窃取的凭证和支付信息。每一项功能都服务于一个目标:工业级的凭证盗窃。
这一发现突显了地下经济中一个更广泛的趋势——网络钓鱼即服务的兴起。这些工具包的构建、销售甚至技术支持方式都类似于合法的软件产品。它们的可用性极大地降低了技术门槛,使技术水平较低的犯罪分子也能大规模发起令人信服的攻击活动。在这个特定工具包中观察到的自动化,例证了网络钓鱼如何变得系统化——部署更快、更难检测、更容易复制。
通过追踪该工具包的架构和Telegram基础设施,Group-IB的分析师记录了当今的网络钓鱼运营者在结构和规模上如何模仿合法的SaaS业务。这种工业化将网络钓鱼从一系列孤立的诈骗行为,转变为一种持续的、自动化的供应链。理解这种转变对于防御者至关重要,他们现在需要应对的不是个人,而是一个行为方式像敏捷企业的生态系统。
关键发现
- 针对Aruba客户发送鱼叉式钓鱼诱饵,警告服务即将过期或支付失败。
- 预填充登录URL,嵌入受害者的电子邮件地址以增加真实性。
- 钓鱼工具包为效率和规避而构建。它是一个完整的、多阶段的应用程序,旨在引导受害者完成完整的数据窃取流程。
- 使用Telegram聊天作为回传渠道,用于回传支付详情数据。
可能对本博客感兴趣的人员
- 网络安全分析师和企业安全团队
- 恶意软件和欺诈防护分析师
- 威胁情报专家
- 网络调查人员
- 计算机应急响应小组
- 执法机构和网络犯罪部门
Group-IB威胁情报门户: Group-IB客户可以访问我们的威胁情报门户,以获取有关网络钓鱼活动的更多信息。
攻击方案概述
攻击通常始于经典的鱼叉式钓鱼诱饵。受害者收到旨在制造紧迫感的电子邮件,例如警告服务即将到期或支付失败——这正是Aruba公司本身警告其客户防范的伎俩。电子邮件中包含一个指向众多钓鱼页面的链接,这些页面精心模仿了官方的Aruba.it网页邮件登录门户。
该钓鱼页面模仿了官方的Aruba.it网页邮件登录门户。
对这个特定钓鱼工具包的分析突显了预填充登录URL的使用,其中将受害者的电子邮件地址作为参数。当受害者点击链接时,页面加载时会自动填充登录表单中的电子邮件字段,营造出一种令人信服的合法假象,从而降低用户的警惕性,使他们更有可能输入敏感数据。一旦数据被提交,就会回传给攻击者,随后受害者会被重定向到合法的Aruba.it网站以最小化怀疑。
此外,对钓鱼工具包的分析揭示了一个精心策划的四阶段流程,旨在系统性地窃取受害者的凭证和财务数据。
第一阶段:规避与访问
攻击序列以CAPTCHA挑战开始,这作为工具包的第一道防线。此过滤器旨在排除安全机器人和扫描器的分析,增加恶意页面仅传递给人类目标的可能性。
第二阶段:凭证盗窃。
在解决CAPTCHA后,受害者被重定向到一个高保真复制的Aruba.it客户登录页面。受害者输入其用户名和密码,这些信息会立即回传给攻击者。
第三阶段:财务数据收集。
为了降低怀疑,受害者随后会看到一个虚假的小额合理费用支付页面,通常以服务续订或验证为借口。此页面旨在窃取受害者的完整信用卡信息:姓名、卡号、有效期和CVV安全码。
第四阶段:3D安全/一次性密码收集。
在提交卡信息后,受害者立即被带到一个假的3D安全/一次性密码验证页面。该页面提示他们输入银行发送到手机的一次性密码。这最后一条信息被捕获并发送给攻击者,为他们提供了实时授权欺诈交易所需的一切。随后,受害者会被重定向到一个加载屏幕,然后被送往合法的Aruba.it网站,从而对盗窃行为一无所知。
钓鱼工具包分析
钓鱼工具包是一个为效率和规避而构建的综合性框架。它不是一个单一的页面,而是一个完整的、多阶段的应用程序,旨在引导受害者完成完整的数据收集过程。
该过程始于一个反机器人网关,用于过滤掉自动化安全工具,确保核心钓鱼页面仅展示给潜在的人类受害者。
一旦用户通过此检查,他们便进入主应用程序,其中包含为攻击每个阶段单独设计的高保真模板:初始凭证登录、财务数据表单以及最终的一次性密码拦截页面。
当受害者在任何阶段提交其信息时,数据会通过多个渠道同时发送给攻击者。主要方法是向预先配置的Telegram聊天直接发送消息,为攻击者提供即时通知。作为备份,数据也会保存在运行该工具包的攻击者机器上的本地日志文件中。
我们的分析还发现了第二个Telegram回传渠道,硬编码在工具包的客户端代码中。该渠道显然用于回传支付详情数据,因为其参数与下方截图所示的不同。然而,如果向此Telegram渠道的回传失败,下方显示的渠道将用作回退或备份方案。
虽然有针对Aruba.it的工具包,它们可能既简陋又得到更多“支持”,但它们是危险的、分层的犯罪生态系统的一部分,降低了发起网络钓鱼攻击的门槛。
Telegram生态系统
Telegram是这次整个行动的中枢神经系统。正如在许多其他案例中看到的那样,它充当了网络犯罪的全面服务平台,常常承载攻击生命周期的每个阶段。在我们分析的案例中,我们能够识别出许多专门用于Aruba攻击活动的Telegram聊天。
这些Telegram实体被用于:
- 分发与销售:宣传、推广和销售钓鱼工具包。在下方取自我们威胁情报平台的截图中,本文分析的钓鱼工具包至少在一个Telegram频道中由实际开发者免费分发。
- 社区与支持:为犯罪分子创建交流工具、技术和提供支持的空间。
- 回传机器人:使用机器人作为回传数据的端点。这种方法比某些其他类型的传统基础设施更隐蔽,因为其流量与正常的消息传递活动混合在一起。
结论
Group-IB分析的钓鱼工具包例证了在线欺骗的工业化。曾经需要专业知识才能执行的操作,现在可以通过预构建的自动化框架大规模实施。这些操作就像非法的SaaS业务一样运作——模块化、基于订阅,并通过Telegram社区提供支持。
这一演变强调了一个关键事实:网络钓鱼不再是一种静态的或低技术含量的威胁。它是一个动态的、市场驱动的生态系统,并不断创新。每一个新的工具包都加速了攻击周期,降低了入门门槛,并扩大了网络欺诈的全球覆盖范围。
网络钓鱼可能是最古老的网络犯罪形式之一,但在其当前的工业化形态中,它代表了自动化和欺骗的新前沿——这需要情报驱动的、协作的防御。
建议
该工具包的多阶段性质及其拦截一次性密码的能力,突显了传统安全建议的局限性。需要一种更强大的、多层次的防御措施——组织/服务提供商和最终用户双方都致力于安全——以应对这种威胁。
对于组织和服务提供商
- 实施技术解决方案,如安全电子邮件网关,以过滤恶意内容并检查URL。强制执行电子邮件认证标准,如SPF、DKIM和DMARC。
- 主动监控仿冒域名和钓鱼网站,并主动请求将其下线。为用户提供一个专用页面来报告滥用行为。
- 采用零信任方法,确保不认为任何连接是理所当然的。始终保持双重检查并持续监控所有流量。当请求任何关键操作时,通过多个独立的渠道发送通知或要求批准。通过重定向到银行的官方网站进行多因素身份验证/授权来处理支付,不要在自身基础设施上托管所有流程。
对于最终用户
- 对任何使用社会工程学技巧的电子邮件保持怀疑,例如制造紧迫感或恐惧。在点击前,务必验证发件人并将鼠标悬停在链接上以检查目标URL。请记住,HTTPS锁图标并不能保证网站是合法的,因为如今大量钓鱼网站也在使用它。
- 如果您收到来自服务提供商的可疑电子邮件,请避免使用其中的任何链接。相反,打开一个新的浏览器窗口并手动登录您的账户。查找新的通知或尝试查找电子邮件中提供的相同信息。服务提供商通常致力于通过特定渠道支持其客户,例如专用网站页面和客户支持服务——用户可以通过这些渠道获取准确信息并报告可疑活动,包括潜在的钓鱼尝试。
- 尽管一些钓鱼工具包能够绕过它,但在您的关键账户上启用多因素认证仍然非常重要。在可用的情况下,优先使用密码密钥而非短信或基于应用的一次性密码,以消除一次性密码被盗的威胁。使用密码管理器确保您为每个网站使用唯一的强密码。
入侵指标
网络入侵指标
| 域名 | IP地址 |
|---|---|
| serdegogozedeytid[.]bulkypay[.]xyz | 23[.]239[.]109[.]118 |
| serdegogozedeytidtelerstore[.]marina[.]am | 192[.]250[.]229[.]24 |
| scarecrow[.]metalseed[.]you2[.]pl | 109[.]95[.]159[.]70 |
| wordpress-1512889-5811853[.]cloudwaysapps[.]com | 45[.]77[.]157[.]140 |
| firsijdaeeuetevcbcsj[.]cfolks[.]pl | 185[.]208[.]164[.]121 |
| arb-app[.]nero-network[.]eu | 185[.]25[.]23[.]155 |
| srv229641[.]hoster-test[.]ru | 31[.]28[.]24[.]131 |
Telegram入侵指标
因原文内容未提供具体的Telegram入侵指标列表,故不在此处列出。 6x1JVbTTUM5oRNR00ZWjfLk0WJ0Azz9T9z9e4q4kxdGUxghYFPZdz/Nc3Bz9VR0lEEqD6G89j1nx/giuprob/A==
