精心设计的钓鱼邮件
目前美国境内正流传一场针对社保用户的复杂钓鱼攻击。攻击者通过伪造的美国社会保障局(SSA)邮件,诱骗收件人下载所谓的"社保年度报表"。这些精心设计的邮件声称收件人的社保报表可供下载,并诱导其点击附件文件。
高度仿真的伪装手段
这些伪造邮件使用了SSA官方标识和排版格式,普通用户很难辨别真伪。当用户按照指示操作时,会无意中下载名为"ReceiptApirl2025Pdfc.exe"或"SSAstatment11April.exe"的可执行文件。虽然文件名看似无害,实际上这些文件包含名为ScreenConnect的合法远程访问工具,攻击者可借此完全控制受害者系统。
幕后黑手与攻击动机
Malwarebytes研究人员发现,这起攻击背后的威胁组织名为"Molatori"(得名于其使用的恶意域名)。该组织主要目的是金融欺诈,一旦获取系统访问权限,就会窃取银行账户信息和个人身份资料。
规避检测的技术手段
攻击者采用多种技术手段增加检测难度:
-
利用被入侵的WordPress网站发送钓鱼邮件,使发件域名看似合法 -
将邮件内容嵌入图片,规避电子邮件安全过滤器的扫描 -
使用合法的ScreenConnect远程管理工具(被检测为RiskWare.ConnectWise.CST),可执行脚本、运行命令、传输文件和安装其他恶意软件
恶意基础设施
安装后,ScreenConnect客户端会连接多个命令控制域名,包括atmolatori.icu、gomolatori.cyou等变种域名。Malwarebytes已将这些可疑实例标记为风险软件,并阻断相关域名的连接。
文章来源:freebuf
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
原文始发于微信公众号(黑白之道):警惕伪造社保报表诱骗用户安装恶意软件的钓鱼攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论