揭秘针对意大利基础设施的多阶段网络钓鱼工具包

Group-IB研究人员发现了一个针对意大利IT服务商Aruba的专业钓鱼框架,采用多层规避技术、验证码过滤和Telegram数据外传,能够大规模窃取凭证并绕过自动检测系统,展示了钓鱼即服务业务的工业化运作模式。

揭露针对意大利基础设施的多阶段网络钓鱼工具包

引言

网络钓鱼仍然是网络安全领域最持久和适应性最强的威胁之一。网络犯罪分子经常在网络钓鱼活动中冒充信誉良好的IT公司,利用这些品牌建立的信任来同时针对受影响公司及其客户。最初简单的社会工程已发展成具有明确角色、可扩展工具和快速变现能力的复杂犯罪经济。

通过持续监控地下生态系统,Group-IB的威胁情报和调查团队最近发现了一个复杂的钓鱼框架,详细展示了这一演变过程。分析的工具包旨在冒充意大利IT和网络服务提供商Aruba S.p.A.,该公司深度嵌入意大利数字基础设施,为超过540万客户提供服务。此类目标提供了显著回报:入侵单个账户可能暴露关键业务资产,从托管网站到域名控制和电子邮件环境。

Group-IB研究人员剖析了该钓鱼工具包,发现它不仅仅是一个克隆网页,而是一个完全自动化的多阶段平台,专为效率和隐蔽性设计。它采用CAPTCHA过滤来规避安全扫描,预填受害者数据以增加可信度,并使用Telegram机器人外泄被盗凭证和支付信息。每个功能都服务于单一目标:工业规模的凭证窃取。

关键发现

  • 针对Aruba客户的鱼叉式网络钓鱼诱饵,警告服务到期或付款失败
  • 预填充登录URL嵌入受害者电子邮件地址以增强真实性
  • 钓鱼工具包专为效率和规避而构建,是一个完整的多阶段应用程序
  • 使用Telegram聊天作为外泄渠道,用于传输支付详细信息数据

攻击方案概述

攻击通常以经典的鱼叉式网络钓鱼诱饵开始。受害者收到旨在制造紧迫感的电子邮件,例如关于服务到期或付款失败的警告。电子邮件包含指向众多钓鱼页面的链接,这些页面精心模仿了官方的Aruba.it网页邮件登录门户。

该钓鱼页面模仿了官方的Aruba.it网页邮件登录门户。对此特定钓鱼工具包的分析强调了使用预填充登录URL的技术,这些URL包含受害者的电子邮件地址作为参数。当受害者点击链接时,页面加载时会自动填充登录表单中的电子邮件字段,创造出令人信服的合法性假象,降低用户的警惕性。

四阶段攻击流程

阶段1:规避与访问

攻击序列以CAPTCHA挑战开始,这是工具包的第一道防线。此过滤器旨在筛选出安全机器人和扫描器的分析,增加恶意页面仅传递给人类目标的可能性。

阶段2:凭证窃取

解决CAPTCHA后,受害者被重定向到高保真的Aruba.it客户登录页面副本。受害者输入其用户名和密码,这些信息立即被外泄给攻击者。

阶段3:金融数据收集

为降低怀疑,受害者随后会看到一个虚假的小额合理费用支付页面,通常以服务续订或验证为借口。此页面旨在窃取受害者的完整信用卡详细信息。

阶段4:3D安全/OTP收集

提交信用卡详细信息后,受害者立即被带到一个假的3D安全/OTP验证页面。该页面提示他们输入银行发送到手机的一次性密码。这些最终信息被捕获并发送给攻击者,使他们能够实时授权欺诈交易。

钓鱼工具包分析

钓鱼工具包是一个为效率和规避而构建的全面框架。它不是一个单一页面,而是一个完整的多阶段应用程序,旨在引导受害者完成完整的数据收集过程。

该过程从反机器人网关开始,该网关过滤掉自动化安全工具,确保核心钓鱼页面仅显示给潜在的人类受害者。一旦用户通过此检查,他们进入主应用程序,其中包含针对攻击每个阶段的独立高保真模板。

当受害者在任何阶段提交其信息时,数据通过多个渠道同时发送给攻击者。主要方法是向预配置的Telegram聊天直接发送消息,为攻击者提供即时通知。作为备份,数据也保存在运行工具包的攻击者机器上的本地日志文件中。

Telegram生态系统

Telegram是整个行动的中枢神经系统。它作为网络犯罪的全面服务平台,通常承载攻击生命周期的每个阶段。在分析的工具包案例中,我们能够识别出许多专门用于Aruba活动的Telegram聊天。

这些Telegram实体用于:

  • 分发和销售:宣布、推广和销售钓鱼工具包
  • 社区和支持:为犯罪分子交换工具、技术和支持创造空间
  • 外泄机器人:使用机器人作为外泄数据的端点

结论

Group-IB分析的钓鱼工具包体现了在线欺骗的工业化。曾经需要技术专长的操作现在可以通过预构建的自动化框架大规模执行。这些操作就像非法的SaaS业务一样运作——模块化、基于订阅并通过Telegram社区提供支持。

建议

对于组织和服务提供商

  • 实施安全电子邮件网关等技术解决方案来过滤恶意内容和检查URL
  • 强制实施SPF、DKIM和DMARC等电子邮件身份验证标准
  • 主动监控冒充域名和钓鱼网站,主动请求将其删除
  • 采用零信任方法,确保不轻易信任任何连接

对于最终用户

  • 对任何使用社会工程技术(如制造紧迫感或恐惧)的电子邮件保持怀疑
  • 始终验证发件人并在点击前悬停检查链接的目标URL
  • 如果收到来自提供商的可疑电子邮件,请避免使用其中的任何链接
  • 在关键账户上启用多因素身份验证

危害指标

网络IOC

域名 IP地址
serdegogozedeytid[.]bulkypay[.]xyz 23[.]239[.]109[.]118
serdegogozedeytidtelerstore[.]marina[.]am 192[.]250[.]229[.]24
scarecrow[.]metalseed[.]you2[.]pl 109[.]95[.]159[.]70
wordpress-1512889-5811853[.]cloudwaysapps[.]com 45[.]77[.]157[.]140
firsijdaeeuetevcbcsj[.]cfolks[.]pl 185[.]208[.]164[.]121
arb-app[.]nero-network[.]eu 185[.]25[.]23[.]155
srv229641[.]hoster-test[.]ru 31[.]28[.]24[.]131
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次