网络犯罪分子使用CoGUI钓鱼工具包攻击日本

中国网络犯罪分子正在使用一种新的网络钓鱼工具包传播数亿封日语恶意电子邮件。

Proofpoint 的最新研究显示，当今世界上没有任何威胁行为者、犯罪软件即服务 (CaaS) 平台或恶意软件攻击活动比“ CoGUI ”更具威胁性。

今年 1 月，威胁组织利用它发起 50 多次攻击活动，共计发送了 1.72 亿封钓鱼邮件。上个月，该攻击活动已达 40 次，发送了超过 1 亿封钓鱼邮件。

从技术上讲，CoGUI 与 Darcula 有所重叠，但它缺乏 Darcula 拦截双因素身份验证 (2FA) 代码的能力，并且面向的用例略有不同。

Proofpoint 威胁研究员 Selena Larson 解释说：我们观察到 Darcula 目前更专注于移动端和短信网络钓鱼，尤其是在美国，而 CoGUI 则是一种基于电子邮件的威胁，而且攻击量更大。

两起攻击活动的目标也不同——Darcula 的攻击活动试图通过伪装成小额消费来窃取信用卡信息，而 CoGUI 的诱饵则更加丰富，通常会冒充大型公司，其中许多公司拥有数百万潜在用户。

与 Darcula 或 Lucid（负责在世界范围内传播诈骗）不同，CoGUI 攻击似乎几乎只针对日本。

CoGUI 似乎至少从 2024 年 10 月就已存在，尽管它在年初才真正达到顶峰。

去年 12 月，它发起了不到 20 起网络钓鱼活动，发送了略多于 6000 万封的网络钓鱼电子邮件。今年 1 月，这一数字几乎增长了两倍。自 1 月以来，由于尚不清楚的原因，攻击数量稳步下降。

Larson表示，如此多的垃圾邮件之所以能够躲过过滤器，是因为“攻击者在每次攻击活动中都会使用许多不同的电子邮件地址，而且通常不会重复使用，因此一封电子邮件并不能对所有垃圾邮件负责。通过使用多个电子邮件地址和服务，他们或许能够绕过垃圾邮件过滤器和基于发件人的自动检测。”

这些数亿封电子邮件都包含指向凭证钓鱼网站的 URL。然而，在受害者到达虚假网站之前，该软件会对其系统进行分析，检查包括 IP 地址位置、操作系统 (OS)、语言配置、浏览器类型和版本、设备是台式机还是手机在内的参数，甚至在手机的情况下，还会检查电脑屏幕的尺寸。

并非所有 CoGUI 攻击活动都会筛选相同的答案——无论攻击者的目标是 Mac 电脑还是 Android 手机，受害者只需符合配置文件，即可看到一个真实的钓鱼页面，攻击者可以从中获取他们的凭证。如果不符合，他们将被重定向到他们最初以为正在访问的网站的合法版本。

多个 CoGUI 活动都冒充了亚马逊。其他被冒充的品牌包括苹果、乐天、日本国家税务局以及多家日本金融公司。

几周前，日本政府金融服务局向公众发出警告，网络犯罪分子钓鱼经纪公司客户利用受害者账户购买中国股票的情况“迅速增加” 。

Proofpoint 无法确认这些活动是否与 CoGUI 有关。

除了日本目标外，少数攻击活动还影响了澳大利亚、加拿大、新西兰和美国的用户，但即使是这些攻击活动，其目标也是与日本有联系的个人和组织。至于为何所有这些攻击活动都如此精准地瞄准一个人口群体，Proofpoint 无法解释。

技术报告：

https://www.proofpoint.com/us/blog/threat-insight/cogui-phish-kit-targets-japan-millions-messages

新闻链接：

https://www.darkreading.com/threat-intelligence/cogui-phishing-kit-chinese-hackers-japan