利用知名品牌的钓鱼骗局窃取登录凭证的技术分析

近期发现一种新型钓鱼攻击,攻击者通过精心制作的HTML附件冒充知名品牌,利用嵌入式JavaScript代码窃取用户凭证,并通过Telegram Bot API外传数据。这种攻击绕过了传统安全控制,采用AES加密和反取证技术,主要针对中欧和东欧地区的多个行业。

钓鱼骗局利用知名品牌窃取登录凭证

GBHackers · 2025年11月12日

Cyble研究与情报实验室(CRIL)最近发现了一场复杂的钓鱼活动,该活动利用全球知名和区域性品牌窃取用户凭证,标志着攻击者技术和覆盖范围的升级。

攻击手法分析

与传统钓鱼威胁不同,此操作通过电子邮件直接发送精心制作的HTML附件,这些附件通常伪装成采购文件或发票,成功绕过了许多标准安全控制。

在此活动中,攻击者分发带有HTML附件的电子邮件,这些附件具有无害的文件名,如RFQ_4460-INQUIRY.HTML。这些文件模仿常规业务通信,如报价请求(RFQ)或发票,并敦促收件人"登录查看"附件文档。

当在浏览器或某些兼容的PDF查看器中查看时,HTML文件会显示模糊的发票背景和登录提示,通常以Adobe或其他受信任品牌为主题。

与典型的钓鱼策略不同,这些文件不包含可疑URL或外部网络托管。恶意代码直接嵌入文件中,从输入凭据的那一刻起就启动由JavaScript驱动的凭据捕获过程。

凭据窃取与外传

当受害者在虚假登录模态框中提交电子邮件和密码时,会触发一个JavaScript例程,该例程收集他们的凭据、设备IP地址和用户代理数据。

这些收集到的数据通过HTTP POST请求外传到攻击者控制的Telegram机器人,使用Telegram Bot API。这种方法绕过了传统的命令与控制(C2)基础设施,使安全团队难以检测。

恶意软件样本分析

两个代表性恶意软件样本揭示了该活动的技术复杂性:

样本1:

  • 使用CryptoJS AES加密
  • 收集凭据、IP和设备信息
  • 要求用户重新输入凭据(提高成功率)
  • 使用api.ipify.org等服务确认受害者IP
  • 捕获后重定向到合法的Adobe网站

样本2:

  • 使用原生Fetch API进行凭据外传
  • 显示"登录无效"错误以提示重复输入
  • 通过阻止分析师使用的键盘快捷键、鼠标操作和浏览器工具来实现反取证

两种变体都显示核心依赖Telegram机器人进行凭据传递,有效分散了基础设施,并将检测挑战转移到基于API的通信上。

攻击目标与范围

攻击者策略性地冒充一系列全球和区域性品牌,以最大化钓鱼活动的覆盖范围和可信度。被冒充的知名品牌包括Adobe、Microsoft、WeTransfer、DocuSign、FedEx、DHL、Telekom Deutschland和Roundcube。模板和品牌根据目标地区和行业进行定制,经常使用模糊背景和模态框来增强真实性。

该活动在中欧和东欧特别活跃,包括捷克共和国、斯洛伐克、匈牙利和德国。目标行业广泛,涵盖农业、汽车、建筑、媒体、政府、零售、制造业和IT,这些行业的采购相关电子邮件和文档工作流程都很常规。

威胁特征分析

对威胁基础设施的分析暴露了多个Telegram机器人,证明有几个不同的威胁行为者参与。

攻击者的模块化工具包支持快速品牌切换和语言本地化,进一步增加了检测难度。基础设施重用很常见,主题变体中的机器人令牌也经常重复出现。

活动演进的特点是:

  • 高级混淆技术(包括AES加密)
  • 增强的反分析功能(阻止取证工具)
  • 精美的用户界面
  • 扩展的语言支持

一些样本仅在输入真实凭据时才执行外传,允许恶意软件在沙箱中逃避检测。

防护建议

安全团队应在电子邮件网关上阻止HTML附件,限制对Telegram API的访问,并回顾性审查用户活动以寻找受损迹象。

这种结合了受信任品牌冒充和新颖技术控制的活动,对全球组织构成了可扩展的持续威胁。组织必须保持主动,不断更新技术防御措施,并教育员工了解这些不断发展的钓鱼策略。随着攻击者制定更复杂的策略,彻底的电子邮件审查、用户培训和威胁情报集成成为有效缓解的关键支柱。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次