2025 年 1 月至 4 月期间,名为“CoGUI”的新型网络钓鱼工具包向目标发送了超过 5.8 亿封电子邮件,旨在窃取账户凭证和支付数据。
这些信息冒充了亚马逊、乐天、PayPal、苹果、税务机构和银行等主要品牌。
该活动在 2025 年 1 月达到顶峰,170 次活动向目标发送了 172,000,000 条网络钓鱼消息,但接下来的几个月也保持了同样惊人的数量。
发现CoGUI攻击活动的Proofpoint研究人员指出,这是他们目前追踪到的规模最大的网络钓鱼活动。这些攻击主要针对日本,但也有一些小规模的活动针对美国、加拿大、澳大利亚和新西兰。
CoGUI 至少从 2024 年 10 月开始活跃,但Proofpoint从 12 月开始跟踪它。
分析人员发现该恶意软件与 Darcula 网络钓鱼工具包有几处相似之处,该工具包与中国特工有关,并初步认为 CoGUI 攻击的来源是相同的。
然而,经过深入调查,Proofpoint 得出结论,尽管这两个网络钓鱼工具包均由某国攻击者使用,但它们之间毫无关联。
攻击始于一封冒充可信品牌的网络钓鱼电子邮件,通常具有紧急主题,要求收件人采取行动。
这些消息包含一个重定向到 CoGUI 网络钓鱼平台上托管的网络钓鱼网站的 URL,但只有当目标满足攻击者预先定义的特定条件时,该链接才会解析。
这些标准包括他们的 IP 地址(位置)、浏览器语言、操作系统、屏幕分辨率和设备类型(移动或桌面)。
如果不符合条件,受害者将被重定向到被冒充的品牌合法网站,以减少怀疑。
有效目标会被重定向到一个钓鱼页面,该页面具有模仿真实品牌设计的虚假登录表单,诱骗受害者输入他们的敏感信息。
Proofpoint 还发现,CoGUI 是针对美国的短信钓鱼活动的幕后黑手,这些活动以“未付通行费”为诱饵。不过,该公司指出,目前大部分此类活动已转移到 Darcula。
研究人员认为,CoGUI 为多个攻击者的行动提供了便利,这些攻击者主要来自某国,主要针对日本用户。
然而,该工具包随时可能被其他目标范围不同的网络犯罪分子采用,从而对其他国家造成大规模攻击。
减轻网络钓鱼风险的最佳方法是,在收到要求紧急采取行动的电子邮件时切勿匆忙采取行动,并且始终独立登录所声称的平台,而不是点击嵌入的链接。
原文始发于微信公众号(犀牛安全):CoGUI 网络钓鱼平台发送了 5.8 亿封电子邮件以窃取凭证
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4118380.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论