与俄罗斯有联系的BlueBravo被发现通过GraphicalProton后门瞄准东欧的外交实体。据观察，该组织正在进行鱼叉式网络钓鱼活动，最终目标是用一个名为GraphicalProton的新后门感染收件人。 该活动是在2023年3月至5月期间观察到的，黑客利用合法互联网服务（LIS）进行指挥控制，扩大了滥用的服务范围。 早在2023年1月，Insikt的研究人员就观察到BlueBravo使用一种名为GraphicalNeutrino的主题诱饵来传递恶意软件。GraphicalProton是该组织武器库中的另一个恶意软件，与GraphicalNeutrino不同的是，它使用微软的OneDrive或Dropbox进行C2通信。 Recorded Future表示：“该组织滥用LIS是一种持续的策略，因为他们使用了Trello、Firebase和Dropbox等各种在线服务来逃避检测。BlueBravo似乎优先进行针对欧洲政府部门的网络间谍活动，这可能是因为俄罗斯政府在乌克兰战争期间对战略数据感兴趣。” GraphicalNeutrino和GraphicalProton都被用作加载程序，后者被放置在钓鱼电子邮件传递的ISO或ZIP文件中。 2023年5月，Insikt Group首次为客户端描述了GraphicalProton恶意软件。Graphical质子充当加载程序，与之前描述的GraphicalNeutrino样本非常相似，它在ISO或ZIP文件中暂存，并依赖于新识别的受损域来传递到目标主机。与之前使用Notion进行C2的GraphicalNeutrino的一些分析样本不同，观察到  新确定的GraphiicalProton样本使用了Microsoft OneDrive。 攻击中使用的ISO文件包含LNK文件，这些文件伪装成要出售的宝马汽车的PNG图像。单击该文件后，它将启动GraphicalProton感染链。黑客将Microsoft OneDrive用作C2，并定期轮询存储服务中的文件夹以获取额外的有效载荷。 报告总结道：“随着乌克兰战争的持续，几乎可以肯定的是，在可预见的未来，BlueBravo将继续以政府和外交机构为高价值目标。BlueBravo以及依赖BlueBravo提供数据的俄罗斯情报消费者，很可能认为这些机构为与乌克兰结盟的政府的决策过程提供了战略洞察力。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/bKXmmcd1CgTxG_D38v2YNA 封面来源于网络，如有侵权请联系删除

据悉，至少从2022年年中开始，网络犯罪分子就利用名为Greatness的新型网络钓鱼即服务（PhaaS 或 PaaS）平台将 Microsoft 365 云服务的企业用户作为目标，有效地降低了网络钓鱼攻击的进入门槛。 Cisco Talos 研究员 Tiago Pereira表示：“目前，Greatness 只专注于 Microsoft 365 网络钓鱼页面，为其附属公司提供附件和链接生成器，以创建极具说服力的诱饵和登录页面。它包含的功能包括预先填写受害者的电子邮件地址，并显示从目标组织的真实 Microsoft 365 登录页面中提取的相应公司标志和背景图像。” 涉及 Greatness 的活动主要有位于美国、英国、澳大利亚、南非和加拿大的制造、医疗保健和技术实体，在2022年12月和2023年3月检测到活动激增。 像 Greatness 这样的网络钓鱼工具包为威胁行为者、新手或其他人提供具有成本效益且可扩展的一站式服务，使设计与各种在线服务相关的令人信服的登录页面并绕过双因素身份验证 (2FA) 保护成为可能。 具体来说，看起来真实的诱饵页面充当反向代理，以获取受害者输入的凭据和基于时间的一次性密码 (TOTP)。   攻击链从包含 HTML 附件的恶意电子邮件开始，打开后会执行混淆的 JavaScript 代码，将用户重定向到已预填收件人电子邮件地址的登录页面，并提示输入密码和 MFA 代码。 输入的凭据和令牌随后被转发到附属公司的电报频道，以获取对相关帐户的未授权访问。 AiTM网络钓鱼工具包还带有一个管理面板，使附属机构能够配置 Telegram 机器人、跟踪被盗信息，甚至构建诱杀附件或链接。 更重要的是，每个联盟都应该有一个有效的 API 密钥，以便能够加载网络钓鱼页面。API 密钥还可以防止不需要的 IP 地址查看网络钓鱼页面，并通过伪装成受害者来促进与实际 Microsoft 365 登录页面的幕后通信。 网络钓鱼工具包和 API 协同工作，执行‘中间人’攻击，请求受害者提供信息，然后 API 将实时提交到合法登录页面，如果受害者使用 MFA，这允许 PaaS 附属机构窃取用户名和密码，以及经过身份验证的会话 cookie。 据悉，微软从2023年5月8日起开始在 Microsoft Authenticator 推送通知中强制执行号码匹配，以改进并保护 2FA 抵御即时轰炸攻击。       转自 E安全，原文链接：https://mp.weixin.qq.com/s/zoBn5l7U38HXx_cqEK5eNA 封面来源于网络，如有侵权请联系删除

The Hacker News 网站消息，西班牙国家警察局逮捕了 40 名 Trinitarians 网络犯罪团伙的成员。据悉，这群人中包括两名通过网络钓鱼等技术手段实施银行诈骗的黑客，以及 15 名犯有银行诈骗、伪造文件、身份盗窃和洗钱等多项罪行的犯罪分子。 对于此次抓捕行动，西班牙政府方面表示 Trinitarians 犯罪组织利用黑客工具实施计算机诈骗，据信总共诈骗了30 多万受害者，造成了 70 多万欧元的损失。 犯罪分子通过发送短信实施诈骗 根据西班牙警方透露的消息，为发动网络攻击活动，网络攻击者通过短信发送虚假链接，一旦用户点击进去，便立刻被重定向到伪装成合法金融机构的网络钓鱼页面。这时候，网络攻击者就会窃取用户的凭据，滥用其申请贷款的权限，并将卡链接到其控制的加密货币钱包上。 值得一提的是，网络攻击者还会在发送的短信中“诱导”用户进入紧张的情绪中（一直以解决银行账户所谓的安全问题为由，催促受害者点击附带链接），从而增加诈骗成功的概率。 被网络犯罪分子盗取的卡一般都被用来购买数字资产，随后被套现，用以资助 Trinitarians 日常运营，例如支付法律费用、向监狱成员汇款，以及购买毒品和武器等。一些非法所得也会转移到外国银行账户，集团成员用这些钱在多米尼加共和国购买房产。 此卡，西班牙国家警察局指出 Trinitarians 组织还有一个内部网络体系，用来从银行转账中收款，并通过自动取款机提取。 西班牙当局表示，通过侦察和分析线索，警方在马德里、塞维利亚和瓜达拉哈拉省进行了 13 次房屋搜查，最终查收 Trinitarians 组织大量的计算机设备、挂锁、5000 欧元现金、开锁工具包和其它包含该团伙组织结构信息的文件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366284.html 封面来源于网络，如有侵权请联系删除

在2023年第一季度中，沃尔玛被评为最有可能被网络犯罪分子在品牌网络钓鱼攻击中冒充的品牌。 根据Check Point研究公司的最新品牌网络钓鱼报告，沃尔玛在上一季度的排名中“名列前茅”，占全球所有网络钓鱼事件的16%。 世界各地都在受到网络钓鱼的侵扰，每天发送恶意电子邮件的数量更是惊人。 根据最近的网络钓鱼邮件统计数据，每天有高达34亿封网络钓鱼邮件被发送，相当于全球所有邮件发送量的1.2%。 2023年品牌网络钓鱼数据统计 预计在2023年，将有超过3300万条信息记录被勒索软件或网络钓鱼攻击勒索。网络犯罪分子将在未经授权的情况下获得全球数百万人的敏感数据。 2023年第一季度，与沃尔玛有关的网络钓鱼攻击激增。其原因与一场大型活动有关，该活动诱导人们点击一个所谓的 “供应系统故障 “的虚假链接。 DHL是本次品牌网络钓鱼报告中的“第二名”，占所有网络钓鱼事件的13%，而微软以12%紧随其后。 报告还指出，金融服务公司越来越成为网络钓鱼活动的目标。 Raiffeisen银行首次上榜，位列第八，占本季度网络钓鱼攻击的3.6%。 在Raiffeisen的网络钓鱼活动中，收件人被诱导点击一个恶意链接，以确保他们的账户免受欺诈活动的影响。然而一旦提交，信息就会被攻击者窃取。 Check Point软件公司数据组经理Omer Dembinsky说：”企业应该对员工进行适当的培训，以发现那些可疑的特征，如错误的域名、错别字、不正确的日期以及其他可能暴露恶意邮件或链接的细节。 犯罪组织精心策划的网络钓鱼活动，最终目的是获取尽可能多的个人信息。当然也包括其他目的，例如在Raiffeisen活动中观察到的攻击，目的是获取敏感的账户信息；针对流行的流媒体服务Netflix的攻击，是为了盗取支付细节。 现在网络钓鱼正变得越来越复杂，所以个人在回复电子邮件或点击链接时必须谨慎。 不惜一切代价保护数据 根据F5实验室2020年的网络钓鱼和欺诈报告，大多数网络钓鱼网站（55%）使用目标品牌名称来轻松捕获敏感信息。 84%的美国企业表示，定期的安全意识培训有助于降低员工受网络钓鱼攻击的比率。 令人震惊的是，根据IBM的2022年数据泄露报告，92%的网络钓鱼攻击在澳大利亚非常成功，相比前一年增加了53%。 在这些网络钓鱼攻击中，最常被冒充的品牌是亚马逊和谷歌，占13%的份额，其次是Facebook和Whatsapp，占9%，苹果和Netflix，占2%。 该报告还强调了一个问题，即由网络钓鱼引起的漏洞平均需要295天的时间来识别和控制，这是所有类型的安全漏洞中第三长的时间段。也因此企业和个人对这些攻击更要保持警惕。 在品牌网络钓鱼攻击中，犯罪分子试图使用类似的域名或URL和类似于真实网站的网页设计来模仿知名品牌的官方网站。 假网站通常包含一个表格，旨在窃取用户的凭证、付款细节或其他个人信息。 对网络钓鱼威胁的最好防御是了解网络钓鱼的攻击方式，因此公司应确保其员工接受培训，以识别可疑的电子邮件或链接。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364638.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Emotet 恶意软件以美国纳税人为目标，冒充美国国税局向受害者发送 W-9 纳税申报表，进行钓鱼活动。 Emotet 作为一款臭名昭著的恶意软件，主要通过网络钓鱼电子邮件传播，这些电子邮件包含带有恶意宏的 Microsoft Word 和 Excel 文档。在微软默认阻止下载的 Office 文档中存在宏后，Emotet 转而使用带有嵌入式脚本的 Microsoft OneNote 文件来安装 Emotet 恶意软件。 据悉，一旦安装了 Emotet，该恶意软件便会窃取受害者的电子邮件，用于未来的回复链攻击，发送更多的垃圾邮件，并安装其它恶意软件，为勒索软件团伙等其它威胁郭建者提供初始访问权限。 Emotet 为美国税收做好了“准备” Emotet 恶意软件通常使用“主题式”钓鱼活动，以搭上假期和年度商业活动的便车，例如当前的美国纳税季。在 Malwarebytes 和 Palo Alto Networks Unit42 安全研究人员观察到的新网络钓鱼活动中，Emotet 恶意软件以纳税人为目标，发送附有虚假 W-9 纳税表附件的电子邮件。 Malwarebytes 研究人员发现，威胁攻击者冒充美国国税局的“检查员”，发送标题为“美国国税局纳税申报表 W-9”的电子邮件。 在这些钓鱼电子邮件中有一个名为“W-9 form.ZIP”的 ZIP 存档，其中包含了一个恶意的 Word 文档。此Word 文档已“膨胀”到 500MB 以上，使安全软件更难检测到它是恶意的。 冒充国税局的 Emotet 电子邮件（来源： Malwarebytes） 目前，微软默认阻止宏，用户不太可能遇到启用宏的麻烦，也不太可能使用恶意 Word 文档感染宏。 Emotet Word 文档（来源： BleepingComputer） 在 Unit42 Brad Duncan 观察到的 Emotet 网络钓鱼活动中，攻击者通过使用带有嵌入 VBScript 文件的Microsoft OneNote 文档来绕过这些限制，这些文件安装了 Emotet 恶意软件。 此外，网络钓鱼活动使用回复链电子邮件，其中包含假装来自向用户发送 W-9 表格的业务合作伙伴的电子邮件，如下所示： 带有恶意的微软 OneNote 附件的 Emotet 回复链电子邮件（来源：Unit42） 所附的 OneNote 文件将假装受到保护，要求用户双击 “查看 “按钮，查看文件。但是，隐藏在 “查看 “按钮下面的是一个 VBScript 文档，它将被同步启动。 冒充 W-9 表格的恶意微软 OneNote 文件（资料来源：BleepingComputer：） 在启动嵌入式 VBScript 文件时，微软 OneNote 会警告用户该文件可能是恶意的。不幸的是，“历史经验”告诉我们，许多用户无视这些警告，只是让文件运行。 一旦执行，VBScript 将下载 Emotet DLL 并使用 regsvr32.exe 运行它。此后，该恶意软件现在将悄悄地在后台运行，窃取电子邮件、联系人，并等待进一步的有效载荷安装到设备上。 最后提醒用户，如果收到任何声称是 W-9 或其他税表的电子邮件，首先应使用本地杀毒软件扫描这些文件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361692.html 封面来源于网络，如有侵权请联系删除  

早在今年7月，CloudSEK研究人员就发现了一场大规模的网络钓鱼活动，黑客通过假冒阿联酋政府人力资源部开展诈骗。时至今日，经过4个月的时间，这场钓鱼活动态势非但没有减弱，反而变本加厉，其规模可能比之前认为的更大。 CloudSEK 的安全研究人员于11月28日发布了一份关于该威胁的最新报告。报告称，该公司发现了另外一组网络钓鱼域，这些域使用与 7 月份类似的命名方案进行注册，以通过供应商注册、合同投标和其他类型的诱饵来瞄准阿联酋的承包商。这场运动背后的威胁行为者正在战略性地购买/注册与受害域相似的关键字的域，并针对多个行业，例如整个中东的旅行和旅游、石油和天然气、房地产和投资。 该公司还警告说，他们发现了一些针对引诱用户的骗局：“除了供应商注册和合同招标外，他们还利用虚假的工作机会和投资机会来蒙蔽受害者。”上述网络钓鱼项目还可能被其他黑客团体利用，以特定用户为目标，窃取他们的密码、文件、加密钱包和其他敏感信息。 在CloudSEK发现的所有域中，有些只启用了电子邮件服务器，而另一些则设置了网站来诱骗用户认为它们是合法企业。一些诈骗域会重定向到合法域以诱骗受害者信任网络钓鱼电子邮件。CloudSEK 解释说：“该活动对删除或托管禁令具有弹性，因为它使用具有类似模板的预存储静态网页。这些是在禁令的情况下从一个域上传到另一个域。” 该公司表示，他们分析了 35 个网络钓鱼域，其中 90% 的目标是阿布扎比国家石油公司 (ADNOC)、沙迦国家石油公司 (SNOC) 和阿联酋国家石油公司 (ENOC)，并且托管地区在北美。这种偏好是因为该地区有几个负担得起的供应商可供选择，此外，服务提供商也需要时间来处理删除请求。 从技术角度来看，这家安全公司表示，因为不需要像恶意软件活动那样复杂的基础设施，所以企业电子邮件妥协 (BEC) 的成本效益一般比很高，只需要带有电子邮件服务器的域名，以及来自第三方的域名，足以进行这些攻击。 CloudSEK 表示，合法地追捕这些攻击者可能会阻碍他们的行动，但考虑到一些域名提供商可能在一个国家而邮件服务器在另一个国家，所以这是一项具有挑战性的任务。因此，最好的解决方案是采取预防措施，从一开始就规避它们发生。比如对员工进行 BEC 诈骗培训，避免从未知来源下载可疑文件或点击可疑链接，启用文件扩展名的可见性(在Windows系统上)，以便在下载未知扩展名的文件之前发现它们，还有为支付制定多级身份验证和识别机制。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/nilg2fZ6QR2MAJENzhrN1A 封面来源于网络，如有侵权请联系删除

安全研究人员发现，超过130个组织，包括Twilio、DoorDash和Signal，都有可能被黑客入侵，这是被安全研究人员称为 “0ktapus”的长达数月的网络钓鱼活动一部分。 根据网络安全机构Group-IB的一份报告，属于近10000人的登录凭证被攻击者盗取，他们模仿了流行的单点登录服务Okta。目标被发送短信，将他们转到一个钓鱼网站。正如Group-IB的报告所说，从受害者的角度来看，这个钓鱼网站看起来很有说服力，因为它与他们习惯看到的认证页面非常相似。受害者被要求提供他们的用户名、密码和一个双因素认证代码。这些信息随后被发送给攻击者。 尽管该活动很成功，但Group-IB的分析表明，攻击者有点缺乏经验。有趣的是，Group-IB的分析表明，攻击者在某种程度上是没有经验的，对网络钓鱼工具包的分析显示，它的配置很差，它的开发方式提供了提取被盗凭证进行进一步分析的能力。 但无论是否缺乏经验，这次攻击的规模是巨大的，Group-IB检测到该活动所针对的169个独特域名。据了解，0ktapus活动始于2022年3月左右，到目前为止，大约有9931个登录凭证被盗。攻击者把他们的网撒得很开，目标是多个行业，包括金融、游戏和电信业。Group-IB引用的目标域名（但未确认被盗）包括微软、Twitter、AT&T、Verizon Wireless、Coinbase、Best Buy、T-Mobile、Riot Games和Epic Games。 现金似乎至少是攻击的动机之一，在被攻击的名单中看到金融公司，让我们认为攻击者也在试图偷钱。此外，一些目标公司提供访问加密资产和市场的机会，而其他公司则开发投资工具。Group-IB警告说，我们很可能在一段时间内不会知道这次攻击的全部规模。为了防范类似的攻击，Group-IB提供了通常的建议：一定要检查你要输入登录信息的任何网站的URL；对从未知来源收到的URL持怀疑态度；为了增加保护，你可以使用 “不可伪造的 “双因素安全密钥，如YubiKey。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309189.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软威胁情报中心（MSTIC）破坏了SEABORGIUM（又名ColdRiver，TA446）的活动，SEABORGIUM是一家与俄罗斯有关的黑客组织，他发起了针对北约国家人员和组织的持续黑客攻击活动。 SEABORGIUM自2017年以来一直很活跃，其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃。APT主要针对北约国家，但专家们还观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的行动。 SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员，俄罗斯事务专家和海外俄罗斯公民。 SEABORGIUM的活动始于目标个人的侦察活动，重点是识别他们在社交网络或势力范围内的联系人。 微软发布的帖子写道：“根据观察到的一些模拟和目标，我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报（OSINT）来完善他们的侦察工作。MSTIC与LinkedIn合作，发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。” 黑客使用虚假身份与目标个人联系，并开始与他们对话，以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。 网络钓鱼邮件使用PDF附件，在某些情况下，还包括指向文件、文档托管服务的链接，或托管PDF文档的OneDrive帐户的链接。 打开PDF文件后，会显示一条消息，说明无法查看该文档，他们需要单击按钮重试。 单击该按钮，受害者将被重定向到运行网络钓鱼框架（如EvilGinx）的登录页面，该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后，受害者会被重定向到网站或文档，以避免引起怀疑。 一旦攻击者获得了对目标电子邮件帐户的访问权限，他们就会泄露情报数据（电子邮件和附件），或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。 微软证实，它已采取行动，通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs，其中包括APT在其网络钓鱼活动中使用的60多个域的列表。 可以在Microsoft的公告中找到完整的域列表，以及网络防御者可以用来防止类似攻击的安全措施。 防御措施包括禁用Microsoft 365中的电子邮件自动转发，使用IOC调查潜在的危害，要求对所有帐户进行MFA，以及使用FIDO安全密钥来提高安全性。 微软还发布了Azure Sentinel搜索查询[1, 2]，可用于检查恶意活动。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： LogoKit：黑客利用在线服务和应用中流行的开放重定向漏洞，来绕过网络钓鱼活动中的垃圾邮件过滤器。 Resecurity, Inc.（美国）是一家总部位于洛杉矶的网络安全公司，为财富500强企业提供托管威胁检测和响应，识别黑客，它利用在线服务和应用中流行的开放式重定向漏洞来绕过垃圾邮件过滤器，最终提供网络钓鱼内容。 他们使用高度可信的服务域，如Snapchat和其他在线服务，创建特殊的URL，从而通过网络钓鱼工具获得恶意资源。所识别的工具包名为LogoKit，曾用于攻击Office 365、美国银行、GoDaddy、Virgin Fly以及国际上其他主要金融机构和在线服务的客户。 LogoKit的峰值是在8月初左右发现的，当时已经注册了多个冒充流行服务的新域名，并与开放重定向一起使用。虽然LogoKit在地下就为人所知，但自2015年以来，其背后的网络犯罪集团一直在利用新策略。 LogoKit以其使用JavaScript的动态内容生成而闻名——它能够实时更改登录页面上的徽标（模拟服务）和文本，以适应动态变化，这样，目标受害者更有可能与恶意资源进行交互。2021年11月左右，在利用LogoKit的活动中使用了700多个已识别的域名，其数量还在不断增长。 值得注意的是，参与者更喜欢在滥用管理流程相对较差的异域管辖区使用域名——.gq、.ml、.tk、ga、.cf，或未经授权访问合法网络资源，然后将其用作主机来进行进一步的网络钓鱼分发。 LogoKit依靠向用户发送包含其电子邮件地址的钓鱼链接。一旦受害者导航到URL，LogoKit就会从第三方服务（如Clearbit或谷歌的favicon数据库）获取公司徽标。然后，受害者的电子邮件会自动填写电子邮件或用户名字段，从而使他们感觉自己以前登录过。如果受害者随后输入密码，LogoKit将执行AJAX请求，将目标的电子邮件和密码发送到外部源，最终将受害者重定向到他们的“合法”公司网站。 这些策略允许网络犯罪分子在合法服务的通知背后伪装其活动以逃避检测，从而诱使受害者访问恶意资源。 不幸的是，开放重定向漏洞的使用极大促进了LogoKit的分发，因为许多（甚至流行的）在线服务并不将此类漏洞视为关键问题，在某些情况下，甚至不进行修补，为这种滥用留下了机会。 Resecurity发布的分析报告中提供了更多细节。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期出现了一个名为 “Robin Banks “的新型网络钓鱼服务（PhaaS）平台，提供现成的网络钓鱼工具包，目标是知名银行和在线服务的客户。 该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。 此外，Robin Banks还提供了窃取微软、谷歌、Netflix和T-Mobile账户的模板。根据IronNet的相关报告显示，Robin Banks已经被部署在6月中旬开始的大规模钓鱼攻击活动中就已经出现了Robin Banks的身影，其通过短信和电子邮件针对受害者进行钓鱼攻击。 Robin Banks是一个网络犯罪集团的新项目，据消息推测至少从2022年3月起该平台就已经开始活动，其目的是为了快速制作高质量、以大型金融组织的客户为目标的钓鱼网页。 该平台提供两种层级的7*24小时服务模板，一种是提供单项目模板，价格为每月50美元；另一个是提供对所有模板的无限访问，价格为每月200美元。 该平台清算网网站的登录屏幕 注册后，威胁者会收到一个个人仪表板，其中包含有关其操作的报告、简易页面创建、钱包管理以及创建自定义钓鱼网站的选项。 Robin Banks仪表板（IronNet） 该平台还为用户提供了一些选项，如添加reCAPTCHA以挫败防护bot，或检查用户代理字符串以阻止特定受害者参与高目标的活动。 选择网络钓鱼的目标银行 (IronNet) IronNet在报告中指出，与16Shop和BulletProftLink相比，Robin Banks网站的webGUI更加复杂，但更具有用户友好性。这两个著名的网络钓鱼工具包也明显比Robin Banks更贵。 另外，新的PhaaS平台不断增加新的模板，并更新旧的模板，以反映目标实体的风格和色彩方案的变化。这些优势使得Robin Banks在网络犯罪领域很受欢迎，在过去几个月里，许多网络犯罪分子都采用了它。 在IronNet上个月发现的攻击活动中，Robin Banks的一个使用者通过短信针对花旗银行的客户，警告他们借记卡的 “异常使用”。 发送给随机目标的网络钓鱼信息（IronNet） 所提供的解除所谓安全限制的链接将受害者带到一个钓鱼网站页面，要求他们输入个人信息。在登陆钓鱼网站后，会自动对受害者的浏览器进行识别，以确定他们是在台式机还是手机上，并加载适当的网页版本。一旦受害者在钓鱼网站的表单字段上输入了所有需要的细节，一个POST请求就会被发送到Robin Banks API，其中包含两个独特的令牌，一个是活动运营商的，一个是受害者的。 转移被盗数据的POST请求(IronNet) 钓鱼网站为受害者填写的每一个网页发送一个POST请求，以尽可能多地窃取细节，因为钓鱼过程可能在任何时候因怀疑或其他原因而停止。所有发送到Robin Banks API的数据都可以从平台的webGUI中查看，供操作员和平台管理员使用。为方便起见，Robin Banks还提供了将被盗信息转发到运营商的个人Telegram频道的选项。 一个新的高质量PhaaS平台的出现对互联网用户是一个不好的消息，因为它促进了低技能的网络犯罪分子的钓鱼行为，并增强了有害信息的轰炸力。为了使互联网用户免受这些恶意企图的影响，IronNet建议千万不要点击通过短信或电子邮件发送的链接，并始终确认登陆的网站是官方的。最后建议用户在自己的所有账户上启用2FA，并使用一个私人电话号码来接收一次性密码。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340362.html 封面来源于网络，如有侵权请联系删除