Bleeping Computer 网站披露，Emotet 恶意软件以美国纳税人为目标，冒充美国国税局向受害者发送 W-9 纳税申报表，进行钓鱼活动。 Emotet 作为一款臭名昭著的恶意软件，主要通过网络钓鱼电子邮件传播，这些电子邮件包含带有恶意宏的 Microsoft Word 和 Excel 文档。在微软默认阻止下载的 Office 文档中存在宏后，Emotet 转而使用带有嵌入式脚本的 Microsoft OneNote 文件来安装 Emotet 恶意软件。 据悉，一旦安装了 Emotet，该恶意软件便会窃取受害者的电子邮件，用于未来的回复链攻击，发送更多的垃圾邮件，并安装其它恶意软件，为勒索软件团伙等其它威胁郭建者提供初始访问权限。 Emotet 为美国税收做好了“准备” Emotet 恶意软件通常使用“主题式”钓鱼活动，以搭上假期和年度商业活动的便车，例如当前的美国纳税季。在 Malwarebytes 和 Palo Alto Networks Unit42 安全研究人员观察到的新网络钓鱼活动中，Emotet 恶意软件以纳税人为目标，发送附有虚假 W-9 纳税表附件的电子邮件。 Malwarebytes 研究人员发现，威胁攻击者冒充美国国税局的“检查员”，发送标题为“美国国税局纳税申报表 W-9”的电子邮件。 在这些钓鱼电子邮件中有一个名为“W-9 form.ZIP”的 ZIP 存档，其中包含了一个恶意的 Word 文档。此Word 文档已“膨胀”到 500MB 以上，使安全软件更难检测到它是恶意的。 冒充国税局的 Emotet 电子邮件（来源： Malwarebytes） 目前，微软默认阻止宏，用户不太可能遇到启用宏的麻烦，也不太可能使用恶意 Word 文档感染宏。 Emotet Word 文档（来源： BleepingComputer） 在 Unit42 Brad Duncan 观察到的 Emotet 网络钓鱼活动中，攻击者通过使用带有嵌入 VBScript 文件的Microsoft OneNote 文档来绕过这些限制，这些文件安装了 Emotet 恶意软件。 此外，网络钓鱼活动使用回复链电子邮件，其中包含假装来自向用户发送 W-9 表格的业务合作伙伴的电子邮件，如下所示： 带有恶意的微软 OneNote 附件的 Emotet 回复链电子邮件（来源：Unit42） 所附的 OneNote 文件将假装受到保护，要求用户双击 “查看 “按钮，查看文件。但是，隐藏在 “查看 “按钮下面的是一个 VBScript 文档，它将被同步启动。 冒充 W-9 表格的恶意微软 OneNote 文件（资料来源：BleepingComputer：） 在启动嵌入式 VBScript 文件时，微软 OneNote 会警告用户该文件可能是恶意的。不幸的是，“历史经验”告诉我们，许多用户无视这些警告，只是让文件运行。 一旦执行，VBScript 将下载 Emotet DLL 并使用 regsvr32.exe 运行它。此后，该恶意软件现在将悄悄地在后台运行，窃取电子邮件、联系人，并等待进一步的有效载荷安装到设备上。 最后提醒用户，如果收到任何声称是 W-9 或其他税表的电子邮件，首先应使用本地杀毒软件扫描这些文件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361692.html 封面来源于网络，如有侵权请联系删除  

早在今年7月，CloudSEK研究人员就发现了一场大规模的网络钓鱼活动，黑客通过假冒阿联酋政府人力资源部开展诈骗。时至今日，经过4个月的时间，这场钓鱼活动态势非但没有减弱，反而变本加厉，其规模可能比之前认为的更大。 CloudSEK 的安全研究人员于11月28日发布了一份关于该威胁的最新报告。报告称，该公司发现了另外一组网络钓鱼域，这些域使用与 7 月份类似的命名方案进行注册，以通过供应商注册、合同投标和其他类型的诱饵来瞄准阿联酋的承包商。这场运动背后的威胁行为者正在战略性地购买/注册与受害域相似的关键字的域，并针对多个行业，例如整个中东的旅行和旅游、石油和天然气、房地产和投资。 该公司还警告说，他们发现了一些针对引诱用户的骗局：“除了供应商注册和合同招标外，他们还利用虚假的工作机会和投资机会来蒙蔽受害者。”上述网络钓鱼项目还可能被其他黑客团体利用，以特定用户为目标，窃取他们的密码、文件、加密钱包和其他敏感信息。 在CloudSEK发现的所有域中，有些只启用了电子邮件服务器，而另一些则设置了网站来诱骗用户认为它们是合法企业。一些诈骗域会重定向到合法域以诱骗受害者信任网络钓鱼电子邮件。CloudSEK 解释说：“该活动对删除或托管禁令具有弹性，因为它使用具有类似模板的预存储静态网页。这些是在禁令的情况下从一个域上传到另一个域。” 该公司表示，他们分析了 35 个网络钓鱼域，其中 90% 的目标是阿布扎比国家石油公司 (ADNOC)、沙迦国家石油公司 (SNOC) 和阿联酋国家石油公司 (ENOC)，并且托管地区在北美。这种偏好是因为该地区有几个负担得起的供应商可供选择，此外，服务提供商也需要时间来处理删除请求。 从技术角度来看，这家安全公司表示，因为不需要像恶意软件活动那样复杂的基础设施，所以企业电子邮件妥协 (BEC) 的成本效益一般比很高，只需要带有电子邮件服务器的域名，以及来自第三方的域名，足以进行这些攻击。 CloudSEK 表示，合法地追捕这些攻击者可能会阻碍他们的行动，但考虑到一些域名提供商可能在一个国家而邮件服务器在另一个国家，所以这是一项具有挑战性的任务。因此，最好的解决方案是采取预防措施，从一开始就规避它们发生。比如对员工进行 BEC 诈骗培训，避免从未知来源下载可疑文件或点击可疑链接，启用文件扩展名的可见性(在Windows系统上)，以便在下载未知扩展名的文件之前发现它们，还有为支付制定多级身份验证和识别机制。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/nilg2fZ6QR2MAJENzhrN1A 封面来源于网络，如有侵权请联系删除

安全研究人员发现，超过130个组织，包括Twilio、DoorDash和Signal，都有可能被黑客入侵，这是被安全研究人员称为 “0ktapus”的长达数月的网络钓鱼活动一部分。 根据网络安全机构Group-IB的一份报告，属于近10000人的登录凭证被攻击者盗取，他们模仿了流行的单点登录服务Okta。目标被发送短信，将他们转到一个钓鱼网站。正如Group-IB的报告所说，从受害者的角度来看，这个钓鱼网站看起来很有说服力，因为它与他们习惯看到的认证页面非常相似。受害者被要求提供他们的用户名、密码和一个双因素认证代码。这些信息随后被发送给攻击者。 尽管该活动很成功，但Group-IB的分析表明，攻击者有点缺乏经验。有趣的是，Group-IB的分析表明，攻击者在某种程度上是没有经验的，对网络钓鱼工具包的分析显示，它的配置很差，它的开发方式提供了提取被盗凭证进行进一步分析的能力。 但无论是否缺乏经验，这次攻击的规模是巨大的，Group-IB检测到该活动所针对的169个独特域名。据了解，0ktapus活动始于2022年3月左右，到目前为止，大约有9931个登录凭证被盗。攻击者把他们的网撒得很开，目标是多个行业，包括金融、游戏和电信业。Group-IB引用的目标域名（但未确认被盗）包括微软、Twitter、AT&T、Verizon Wireless、Coinbase、Best Buy、T-Mobile、Riot Games和Epic Games。 现金似乎至少是攻击的动机之一，在被攻击的名单中看到金融公司，让我们认为攻击者也在试图偷钱。此外，一些目标公司提供访问加密资产和市场的机会，而其他公司则开发投资工具。Group-IB警告说，我们很可能在一段时间内不会知道这次攻击的全部规模。为了防范类似的攻击，Group-IB提供了通常的建议：一定要检查你要输入登录信息的任何网站的URL；对从未知来源收到的URL持怀疑态度；为了增加保护，你可以使用 “不可伪造的 “双因素安全密钥，如YubiKey。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309189.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软威胁情报中心（MSTIC）破坏了SEABORGIUM（又名ColdRiver，TA446）的活动，SEABORGIUM是一家与俄罗斯有关的黑客组织，他发起了针对北约国家人员和组织的持续黑客攻击活动。 SEABORGIUM自2017年以来一直很活跃，其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃。APT主要针对北约国家，但专家们还观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的行动。 SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员，俄罗斯事务专家和海外俄罗斯公民。 SEABORGIUM的活动始于目标个人的侦察活动，重点是识别他们在社交网络或势力范围内的联系人。 微软发布的帖子写道：“根据观察到的一些模拟和目标，我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报（OSINT）来完善他们的侦察工作。MSTIC与LinkedIn合作，发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。” 黑客使用虚假身份与目标个人联系，并开始与他们对话，以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。 网络钓鱼邮件使用PDF附件，在某些情况下，还包括指向文件、文档托管服务的链接，或托管PDF文档的OneDrive帐户的链接。 打开PDF文件后，会显示一条消息，说明无法查看该文档，他们需要单击按钮重试。 单击该按钮，受害者将被重定向到运行网络钓鱼框架（如EvilGinx）的登录页面，该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后，受害者会被重定向到网站或文档，以避免引起怀疑。 一旦攻击者获得了对目标电子邮件帐户的访问权限，他们就会泄露情报数据（电子邮件和附件），或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。 微软证实，它已采取行动，通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs，其中包括APT在其网络钓鱼活动中使用的60多个域的列表。 可以在Microsoft的公告中找到完整的域列表，以及网络防御者可以用来防止类似攻击的安全措施。 防御措施包括禁用Microsoft 365中的电子邮件自动转发，使用IOC调查潜在的危害，要求对所有帐户进行MFA，以及使用FIDO安全密钥来提高安全性。 微软还发布了Azure Sentinel搜索查询[1, 2]，可用于检查恶意活动。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： LogoKit：黑客利用在线服务和应用中流行的开放重定向漏洞，来绕过网络钓鱼活动中的垃圾邮件过滤器。 Resecurity, Inc.（美国）是一家总部位于洛杉矶的网络安全公司，为财富500强企业提供托管威胁检测和响应，识别黑客，它利用在线服务和应用中流行的开放式重定向漏洞来绕过垃圾邮件过滤器，最终提供网络钓鱼内容。 他们使用高度可信的服务域，如Snapchat和其他在线服务，创建特殊的URL，从而通过网络钓鱼工具获得恶意资源。所识别的工具包名为LogoKit，曾用于攻击Office 365、美国银行、GoDaddy、Virgin Fly以及国际上其他主要金融机构和在线服务的客户。 LogoKit的峰值是在8月初左右发现的，当时已经注册了多个冒充流行服务的新域名，并与开放重定向一起使用。虽然LogoKit在地下就为人所知，但自2015年以来，其背后的网络犯罪集团一直在利用新策略。 LogoKit以其使用JavaScript的动态内容生成而闻名——它能够实时更改登录页面上的徽标（模拟服务）和文本，以适应动态变化，这样，目标受害者更有可能与恶意资源进行交互。2021年11月左右，在利用LogoKit的活动中使用了700多个已识别的域名，其数量还在不断增长。 值得注意的是，参与者更喜欢在滥用管理流程相对较差的异域管辖区使用域名——.gq、.ml、.tk、ga、.cf，或未经授权访问合法网络资源，然后将其用作主机来进行进一步的网络钓鱼分发。 LogoKit依靠向用户发送包含其电子邮件地址的钓鱼链接。一旦受害者导航到URL，LogoKit就会从第三方服务（如Clearbit或谷歌的favicon数据库）获取公司徽标。然后，受害者的电子邮件会自动填写电子邮件或用户名字段，从而使他们感觉自己以前登录过。如果受害者随后输入密码，LogoKit将执行AJAX请求，将目标的电子邮件和密码发送到外部源，最终将受害者重定向到他们的“合法”公司网站。 这些策略允许网络犯罪分子在合法服务的通知背后伪装其活动以逃避检测，从而诱使受害者访问恶意资源。 不幸的是，开放重定向漏洞的使用极大促进了LogoKit的分发，因为许多（甚至流行的）在线服务并不将此类漏洞视为关键问题，在某些情况下，甚至不进行修补，为这种滥用留下了机会。 Resecurity发布的分析报告中提供了更多细节。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期出现了一个名为 “Robin Banks “的新型网络钓鱼服务（PhaaS）平台，提供现成的网络钓鱼工具包，目标是知名银行和在线服务的客户。 该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。 此外，Robin Banks还提供了窃取微软、谷歌、Netflix和T-Mobile账户的模板。根据IronNet的相关报告显示，Robin Banks已经被部署在6月中旬开始的大规模钓鱼攻击活动中就已经出现了Robin Banks的身影，其通过短信和电子邮件针对受害者进行钓鱼攻击。 Robin Banks是一个网络犯罪集团的新项目，据消息推测至少从2022年3月起该平台就已经开始活动，其目的是为了快速制作高质量、以大型金融组织的客户为目标的钓鱼网页。 该平台提供两种层级的7*24小时服务模板，一种是提供单项目模板，价格为每月50美元；另一个是提供对所有模板的无限访问，价格为每月200美元。 该平台清算网网站的登录屏幕 注册后，威胁者会收到一个个人仪表板，其中包含有关其操作的报告、简易页面创建、钱包管理以及创建自定义钓鱼网站的选项。 Robin Banks仪表板（IronNet） 该平台还为用户提供了一些选项，如添加reCAPTCHA以挫败防护bot，或检查用户代理字符串以阻止特定受害者参与高目标的活动。 选择网络钓鱼的目标银行 (IronNet) IronNet在报告中指出，与16Shop和BulletProftLink相比，Robin Banks网站的webGUI更加复杂，但更具有用户友好性。这两个著名的网络钓鱼工具包也明显比Robin Banks更贵。 另外，新的PhaaS平台不断增加新的模板，并更新旧的模板，以反映目标实体的风格和色彩方案的变化。这些优势使得Robin Banks在网络犯罪领域很受欢迎，在过去几个月里，许多网络犯罪分子都采用了它。 在IronNet上个月发现的攻击活动中，Robin Banks的一个使用者通过短信针对花旗银行的客户，警告他们借记卡的 “异常使用”。 发送给随机目标的网络钓鱼信息（IronNet） 所提供的解除所谓安全限制的链接将受害者带到一个钓鱼网站页面，要求他们输入个人信息。在登陆钓鱼网站后，会自动对受害者的浏览器进行识别，以确定他们是在台式机还是手机上，并加载适当的网页版本。一旦受害者在钓鱼网站的表单字段上输入了所有需要的细节，一个POST请求就会被发送到Robin Banks API，其中包含两个独特的令牌，一个是活动运营商的，一个是受害者的。 转移被盗数据的POST请求(IronNet) 钓鱼网站为受害者填写的每一个网页发送一个POST请求，以尽可能多地窃取细节，因为钓鱼过程可能在任何时候因怀疑或其他原因而停止。所有发送到Robin Banks API的数据都可以从平台的webGUI中查看，供操作员和平台管理员使用。为方便起见，Robin Banks还提供了将被盗信息转发到运营商的个人Telegram频道的选项。 一个新的高质量PhaaS平台的出现对互联网用户是一个不好的消息，因为它促进了低技能的网络犯罪分子的钓鱼行为，并增强了有害信息的轰炸力。为了使互联网用户免受这些恶意企图的影响，IronNet建议千万不要点击通过短信或电子邮件发送的链接，并始终确认登陆的网站是官方的。最后建议用户在自己的所有账户上启用2FA，并使用一个私人电话号码来接收一次性密码。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340362.html 封面来源于网络，如有侵权请联系删除

在欧洲刑警组织协调的执法行动后，造成数百万欧元损失的网络钓鱼团伙成员被逮捕。本周二，欧洲刑警组织对外宣布:“在欧洲刑警的支持下，比利时警察(联邦警察)和荷兰警察(警察)参与了一次跨境行动，粉碎了一个涉及网络钓鱼、诈骗、诈骗和洗钱的有组织犯罪集团。” 最终警方在荷兰搜查了24个场所，并缴获枪支弹药、珠宝首饰、电子设备、现金和加密货币若干，同时还逮捕了9名嫌疑人。据调查，该组织的成员利用银行凭证窃取了数百万欧元，这些凭证是大规模的钓鱼邮件、钓鱼短信中的一部分，“这些团伙成员会编辑发送钓鱼短信、钓鱼邮件等，其中包含指向虚假银行网站的网络钓鱼链接。受害者在无法分辨钓鱼网站的情况下，就会向这些钓鱼团伙提供他们的银行凭证。” 在这些网络犯罪分子中，有些还被发现与毒品和枪支走私有联系，他们使用钱骡来清空受害者银行账户上的所有资金，并将通过欺诈获得的资金套现。据欧洲刑警说，本次行动，三名专家被派往荷兰，为调查人员提供实时分析支持，以及取证和技术专业知识。而在月初时，欧洲刑警组织还取缔了FluBot，这是现存最大的Android恶意软件活动之一。和去年不同的是，在一些组织的关键成员被捕后，执法部门紧接着就控制了FluBot的基础设施，使其无法再用于针对Android用户。4月，欧洲刑警组织还协调开展了TOURNIQUET 行动，该行动导致RaidForums 黑客论坛于1月31日在英国被捕，其管理员和创始人Diogo Santos Coelho也一并被捕。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336905.html 封面来源于网络，如有侵权请联系删除

据 Bleeping Computer 网站披露，研究人员发现了一项大规模网络钓鱼活动。攻击者滥用 Facebook 和 Messenger 引诱数百万用户访问网络钓鱼页面，诱骗用户输入帐户凭据。 经研究人员分析，钓鱼活动背后的操作者可以利用这些被盗账户，向用户的朋友进一步发送钓鱼信息，通过在线广告佣金获得了大量收入。 根据一家专注于人工智能的网络安全公司 PIXM 称，钓鱼活动至少从 2021年 9 月就开始活跃，在 2022 年 4 月至 5 月达到顶峰。 PIXM 通过追踪威胁攻击者，绘制了钓鱼活动地图，发现其中一个被识别出的钓鱼网页承载了一个流量监控应用程序（whos.amung.us）的链接，该应用程序无需认证即可公开访问。 大规模的滥用 目前，尚不清楚钓鱼活动最初是如何开始的，但 PIXM 表示，受害者是通过一系列源自 Facebook 、Messenger 的重定向到达钓鱼登陆页面的，在更多的 Facebook 账户被盗后，威胁攻击者使用自动化工具向被盗账户好友进一步发送钓鱼链接，造成了被盗账户大规模增长。 另外，虽然 Facebook 有自身保护措施，可以阻止钓鱼网站 URL 的传播，但威胁攻击者使用某个技巧，绕过了这些保护措施。 再加上，钓鱼信息使用了 litch.me、famous.co、amaze.co 和 funnel-preview.com 等合法的 URL 生成服务，当合法的应用程序使用这些服务时，阻止这些服务成为了一个很难解决的问题。 网络钓鱼活动中使用的一些 URL(PIXM) 值得注意的是，研究人员未经身份验证，成功访问了网络钓鱼活动统计页面，经过对数据信息分析后发现，在 2021 年，有 270 万用户访问了其中一个网络钓鱼门户，这个数字在 2022 年上升到 850 万，侧面反映了钓鱼活动在大规模增长。 通过深入研究，研究人员确定了 405 个用作钓鱼活动标识符的独特用户名，每个用户名都有一个单独的 Facebook 网络钓鱼页面，这些钓鱼网页的页面浏览量从只有 4000 次到数百万次不等，其中一个页面浏览量更是高达 600 万次。研究人员认为，这 405 个用户名仅仅占钓鱼活动所用账户的一小部分。 已识别的传播用户样本 (PIXM) 另外，研究人员披露，当受害者在钓鱼网站的登陆页面上输入凭证后，新一轮重定向就会开始，立刻将用户带到广告页面、调查表等。 一个向钓鱼用户展示的广告 (PIXM) 威胁攻击者能够从这些重定向中获得推荐收入，在这种如此大规模的钓鱼活动中，估计能有数百万美元的利益。 追踪威胁攻击者 值得一提的是，PIXM 在所有登陆页面上都发现了一个通用代码片段，其中包含一个是对已被查封网站的引用，该代码片段是对名为 Rafael Dorado 的哥伦比亚男子调查的一部分。 目前尚不清楚是谁查封了该域名并在网站上发布了通知。通过反向 whois 查询，指向了伦比亚一家合法的网络开发公司和提供 Facebook “like bots” 和黑客服务的旧网站链接。 PIXM 已经和哥伦比亚警方与国际刑警组织分享了调查结果，同时强调尽管许多已识别的 URL 已下线，但钓鱼活动仍在进行中。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335701.html 封面来源于网络，如有侵权请联系删除

消费者监察公司 Which? 近日表示，Chrome 浏览器无法识别绝大多数的钓鱼网站。而对于这项研究的有效性和使用方法，Google 提出了质疑。 根据 Which? 公司对新近发现的前 800 个钓鱼网站进行的研究，Windows 端 Chrome 浏览器只阻止了其中的 28%，而 macOS 端只阻止了 25%。这些数字与表现最好的浏览器 Firefox 形成鲜明对比，Firefox 在 Windows 中能将用户从这些网站中的 85% 重定向，在 Mac 上为 78%。   在发送给英国新闻媒体 The Independent 的声明中，Google 对 Which? 的调查结果持怀疑态度： 这项研究的方法和结果需要仔细审查。10 多年来，Google 一直帮助其他浏览器制定反钓鱼标准–并免费提供基础技术。Google 和 Mozilla 经常合作以提高网络的安全性，Firefox 浏览器主要依靠 Google 的 Safe Browsing API 来阻止网络钓鱼–但研究人员表示，Firefox 浏览器提供的网络钓鱼保护明显多于Chrome。使用相同技术检测网络钓鱼的浏览器在其提供的保护水平上存在有意义的差异是非常不可能的，因此我们对这份报告的发现仍然持怀疑态度。 网络钓鱼骗局几乎和互联网一样久远。它们通常采取电子邮件或短信的形式，其中有伪装成任何数量的合法公司的官方登录页面的欺诈性网站链接。Chrome、Firefox和其他浏览器试图过滤掉这些可疑的网站。 网络钓鱼骗局在用户层面最容易得到缓解。消费者应该对要求提供信息或要求他们登录某个网站的未经请求的电子邮件持怀疑态度，无论该电子邮件或网站看起来多么正式。糟糕的语法或拼写以及不寻常的URL是其他明显的迹象，表明电子邮件并非真正来自银行或其他用户经常访问的网站。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1274521.htm 封面来源于网络，如有侵权请联系删除

据Security affairs网站5月10日消息，网络安全机构Resecurity近期发现了一项名为Frappo的新型地下网络犯罪服务，以网络钓鱼即服务（PHaaS）的形式，使网络犯罪分子能够托管和生成以假乱真的网络钓鱼页面，这些页面主要针对网络银行、电子商务、流行零售商和在线服务来窃取客户数据。 这项服务最早于2021年 3 月22 日左右出现在暗网上，之后有过重大升级，最后一次更新是在 2022 年 5 月 1 日。除了暗网，Frappo也积极利用Telegram 进行宣传，拥有一个将近2000名活跃成员的群组，网络犯罪分子们在这就各种成功的攻击经验展开交流。 Frappo赋予网络犯罪分子以匿名和加密格式处理被盗数据的能力，具备匿名计费、技术支持、凭证搜集和追踪等功能。Frappo根据他们选择的订阅期限为网络犯罪分子提供了几种付款计划，就像为合法企业提供基于 SaaS 服务的平台一样，Frappo允许网络犯罪分子最大限度地降低开发网络钓鱼工具包的成本，并在更大范围内得到运用。 值得注意的是，网络钓鱼页面的部署过程完全自动化，Frappo利用一个预先配置的 Docker 容器和一个安全通道，通过 API 收集受损的凭证。 正确配置Frappo后，将会对搜集到的数据可视化——例如有多少受害者打开了网络钓鱼页面、授权或输入凭据、正常运行时间和服务器状态。日志部分将显示这些凭证，其中包含有关每个受害者的详细信息，例如 IP 地址、用户名、密码等。 根据Resecurity的观察，这些网络钓鱼页面的逼真度很高，其中包含诱骗受害者输入授权凭证的交互式场景。Frappo的出现表明，网络犯罪分子一直在利用先进的工具和技术来发动攻击，数字身份信息的保护已成为在线网络安全的关键。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/332796.html 封面来源于网络，如有侵权请联系删除