人工智能驱动的网络犯罪服务将钓鱼工具包与恶意安卓应用程序捆绑在一起

安全动态 发布时间:2024-07-29 15:05:59 69 浏览

据观察,一个名为 GXC Team 的讲西班牙语的网络犯罪组织将网络钓鱼工具包与恶意 Android 应用程序捆绑在一起,将恶意软件即服务 (MaaS) 产品提升到一个新的水平。

自 2023 年 1 月以来一直在追踪电子犯罪行为者的新加坡网络安全公司 Group-IB 将犯罪软件解决方案描述为“复杂的人工智能驱动的网络钓鱼即服务平台”,能够针对全球超过 36 家西班牙银行、政府机构和 30 家机构的用户。

网络钓鱼套件的价格在每月 150 美元到 900 美元之间,而包括网络钓鱼套件和 Android 恶意软件在内的捆绑包以订阅方式提供,每月约 500 美元。

该活动的目标包括西班牙金融机构的用户,以及美国、英国、斯洛伐克和巴西的税务和政府服务、电子商务、银行和加密货币交易所。迄今为止,已识别出多达 288 个与该活动相关的网络钓鱼域。

所提供服务范围的一部分还包括出售被盗的银行凭证和为其他针对银行、金融和加密货币业务的网络犯罪集团定制编码雇佣计划。

“与典型的网络钓鱼开发人员不同,GXC团队将网络钓鱼工具包与SMS OTP窃取恶意软件相结合,将典型的网络钓鱼攻击场景转向一个稍微新的方向,”安全研究人员Anton Ushakov和Martijn van den Berk在周四的一份报告中说。

这里值得注意的是,威胁行为者不是直接使用虚假页面来获取凭据,而是敦促受害者下载基于 Android 的银行应用程序以防止网络钓鱼攻击。这些页面是通过短信钓鱼和其他方法分发的。

安装后,该应用程序会请求将权限配置为默认 SMS 应用程序,从而可以拦截一次性密码 (OTP) 和其他消息,并将它们泄露到他们控制下的 Telegram 机器人。

研究人员说:“在最后阶段,该应用程序在WebView中打开一个真正的银行网站,允许用户正常与其交互。“之后,每当攻击者触发 OTP 提示时,Android 恶意软件就会默默地接收并将带有 OTP 代码的短信转发到威胁行为者控制的 Telegram 聊天中。”

威胁行为者在专用 Telegram 频道上宣传的其他服务包括注入 AI 的语音通话工具,这些工具允许其客户根据直接从网络钓鱼工具包发出的一系列提示向潜在目标生成语音通话。

这些电话通常伪装成来自银行,指示他们提供双因素身份验证 (2FA) 代码、安装恶意应用程序或执行其他任意操作。

研究人员指出:“采用这种简单而有效的机制可以增强诈骗场景对受害者的说服力,并展示犯罪分子在他们的计划中采用和实施人工智能工具是多么迅速和容易,将传统的欺诈场景转变为新的、更复杂的策略。

在最近的一份报告中,谷歌旗下的Mandiant揭示了人工智能驱动的语音克隆如何能够以“不可思议的精度”模仿人类语言,从而允许更真实的网络钓鱼(或电话钓鱼)方案,从而促进初始访问、权限提升和横向移动。

“威胁行为者可以冒充高管、同事甚至 IT 支持人员,诱骗受害者泄露机密信息、授予对系统的远程访问权限或转移资金,”威胁情报公司表示。

Malicious Android Apps“与熟悉的声音相关的固有信任可以被用来操纵受害者采取他们通常不会采取的行动,例如点击恶意链接、下载恶意软件或泄露敏感数据。”

网络钓鱼工具包还具有中间对手 (AiTM) 功能,因为它们降低了大规模开展网络钓鱼活动的技术门槛,因此越来越受欢迎。

安全研究员 mr.d0x 在上个月发布的一份报告中表示,不良行为者有可能利用渐进式 Web 应用程序 (PWA) 通过操纵用户界面元素来显示虚假的 URL 栏,从而设计出令人信服的登录页面,用于网络钓鱼目的。

更重要的是,此类 AiTM 网络钓鱼工具包还可用于通过所谓的身份验证方法编辑攻击来闯入各种在线平台上受密钥保护的帐户,该攻击利用了这些服务仍然提供安全性较低的身份验证方法作为回退机制的事实,即使已配置密钥。

网络安全公司eSentire 表示:“由于 AitM 可以通过修改 HTML、CSS 和图像或登录页面中的 JavaScript 来操纵呈现给用户的视图,因为它被代理给最终用户,因此他们可以控制身份验证流程并删除所有对密钥身份验证的引用。

据梭子鱼网络(Barracuda Networks)和Cofense称,最近网络钓鱼活动激增,这些活动嵌入了已经使用安全电子邮件网关(SEG)等安全工具编码的URL,试图掩盖网络钓鱼链接并逃避扫描。

还观察到社会工程攻击采用不寻常的方法,其中用户被引诱访问看似合法但遭到入侵的网站,然后被要求手动复制、粘贴和执行混淆代码到 PowerShell 终端中,幌子是修复在 Web 浏览器中查看内容的问题。

ReliaQuest 和 Proofpoint 之前已记录了恶意软件传递方法的详细信息。McAfee Labs 正在以 ClickFix 的绰号跟踪该活动。

“通过在看似合法的错误提示中嵌入Base64编码的脚本,攻击者欺骗用户执行一系列操作,导致执行恶意PowerShell命令,”研究人员Yashvi Shah和Vignesh Dhatchanamoorthy说。

“这些命令通常从远程服务器下载并执行有效载荷,例如 HTA 文件,然后部署 DarkGate 和 Lumma Stealer 等恶意软件。”

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

Python网络安全:最强工具,保护你的网络世界

Ollama AI 框架中的严重缺陷可能导致 DoS、模型盗窃和中毒

美国大选进入冲刺阶段!网络安全问题再成关注焦点!

PTZOptics相机的零日漏洞正在被广泛利用

谷歌警告安卓系统中存在被主动利用的 CVE-2024-43093 漏洞

我院助力宜宾市中小企业网络安全建设