网络犯罪分子正在利用合法的广告工具来隐藏他们的非法活动并跟踪受害者,以了解他们对恶意软件链接的响应程度。
HP Wolf Security 于今天(2 月 15 日)披露了最新的威胁洞察信息,并揭露了 DarkGate,这是一个由网络犯罪分子组成的联盟,他们正在使用合法的广告工具来增强基于垃圾邮件的恶意软件攻击。
该威胁分析师表示,它跟踪了 DarkGate,观察到自 2018 年以来作为恶意软件提供商的运营情况,并注意到去年策略的转变,需要使用合法的广告网络“跟踪受害者并逃避检测”。
它补充道:“通过使用广告服务,威胁行为者可以分析哪些诱饵会产生点击并感染最多的用户,帮助他们改进活动以获得最大的影响。”
DarkGate 通过精心设计的电子邮件网络钓鱼活动来针对潜在受害者,鼓励他们点击受感染的 PDF 文件 - 到目前为止,一切都很正常。
但是,DarkGate 活动首先将目标发送到合法的在线广告网络,而不是在点击后将目标直接重新路由到有效负载。
“广告 URL 包含标识符和托管文件的域,”Wolf Security 表示。“在广告链接的后端定义中,威胁行为者定义了最终 URL,该 URL 未显示在 PDF 文档中。使用广告网络作为代理可以帮助网络犯罪分子逃避检测并收集有关谁点击其链接的分析。”
详细步骤如下:
变防御为攻击
这一策略还让 DarkGate 能够利用广告公司自身的防御措施——巧妙地利用这些防御措施来掩盖自己的邪恶活动。
“由于广告网络使用验证码来验证真实用户以防止点击欺诈,因此自动恶意软件分析系统可能无法扫描恶意软件,因为它们无法检索和检查感染链的下一阶段,从而帮助威胁行为者逃避检测,”Wolf Security 说道。
这样做的另一个好处是使诱惑看起来更可信——通过合法的广告网络域进行路由并要求通过验证码测试只会增加该活动的合法性。
有趣的是,DarkGate 的犯罪服务似乎迎合了独家客户,费用高达数千美元。Wolf Security 表示,这意味着该组织的工具针对的是精英网络犯罪分子,而不是业余爱好者或“脚本小子”。
Wolf Security 表示:“DarkGate 的开发人员声称将其恶意软件服务的活跃订阅者数量限制为 30 个客户,这表明使用该恶意软件的威胁行为者经过了审查,并且比普通网络犯罪分子更有能力。”
重大投入得到回报
这种曲高和寡的做法似乎为 DarkGate 及其骗子客户带来了回报,Wolf Security 认为,即使是训练有素的员工也可能会被这一活动愚弄。
报告称:“这些活动背后的威胁行为者擅长制造有说服力的社会工程诱饵,即使对于已经完成网络钓鱼意识培训的员工来说也很难发现。”
“在这些活动中,恶意 PDF 附件通过电子邮件发送到目标。打开后,收件人会看到一张社会工程图像,”它补充道。“在许多情况下,这些图像模仿来自 OneDrive 和其他云服务的错误消息。”
Wolf Security 的高级恶意软件分析师 Alex Holland 表示,这种方法只会增加 DarkGate 的成功机会。
“网络犯罪分子越来越善于侵入我们的大脑并了解我们的工作方式,”他说。“例如,流行的云服务的设计总是在不断完善,因此当出现虚假错误消息时,即使用户以前没有见过,也不一定会发出警报。”
原文始发于微信公众号(OSINT研习社):APT社工钓鱼中最新绕过检测的Tips!!!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论