揭秘针对意大利基础设施的多阶段钓鱼工具包

Group-IB的研究人员发现了一个专业化的钓鱼攻击框架，该框架能惊人地精准模仿受信任的品牌。攻击者通过分层规避、CAPTCHA过滤和基于Telegram的数据外泄来窃取凭证并绕过自动化检测。这一发现凸显了网络钓鱼即服务（PhaaS）操作如何通过自动化进行规模化，降低了网络罪犯的技术门槛，并使这种最古老但最有效的数字欺诈形式之一走向工业化。

引言

网络钓鱼仍然是网络安全领域中最为持久和适应性最强的威胁之一。网络犯罪分子通常会在钓鱼活动中冒充信誉良好的IT公司，利用这些品牌建立的信任来同时针对受影响的公司及其客户。最初简单的社会工程学攻击，已经演变成一个分工明确、工具可扩展、资金快速变现的复杂犯罪经济体系。

通过对其地下生态系统的持续监控，Group-IB的威胁情报和调查团队最近发现了一个复杂的钓鱼框架，它以惊人的细节诠释了这种演变。所分析的攻击工具包旨在冒充意大利IT和网络服务提供商Aruba S.p.A.，该公司深度融入意大利的数字基础设施，为超过540万客户提供服务。这样的目标提供了巨大的回报：攻破一个账户就可能暴露关键的业务资产，从托管网站到域名控制和电子邮件环境。

Group-IB的研究人员剖析了这个钓鱼工具包，发现它不仅仅是一个克隆的网页——它是一个为效率和隐蔽性而设计的全自动、多阶段平台。它采用CAPTCHA过滤来逃避安全扫描，预填受害者数据以增加可信度，并使用Telegram机器人来外泄窃取的凭证和支付信息。每一项功能都服务于一个单一目标：工业规模的凭证盗窃。

这一发现突显了地下经济中一个更广泛的趋势——网络钓鱼即服务（PhaaS）的兴起。这些工具包的构建、销售甚至支持方式都类似于合法的软件产品。它们的可得性极大地降低了技术准入门槛，使技术能力较弱的攻击者也能发起大规模且具有说服力的攻击活动。在此特定工具包中观察到的自动化，例证了网络钓鱼如何变得系统化——部署更快、检测更难、复制更容易。

通过追踪该工具包的架构和Telegram基础设施，Group-IB的分析师记录了当今的钓鱼攻击运营者在结构和规模上如何模仿合法的SaaS业务。这种工业化将网络钓鱼从一系列孤立的骗局转变为持续、自动化的供应链。理解这种转变对于防御者至关重要，因为他们现在面对的不再是个人，而是一个行为如同敏捷企业的生态系统。

关键发现

• 向Aruba客户发送鱼叉式钓鱼诱饵，警告服务即将到期或付款失败。
• 预填登录URL，嵌入受害者的电子邮件地址以增加真实性。
• 钓鱼工具包为效率和规避而构建。它是一个完整的、多阶段应用程序，旨在引导受害者完成完整的数据窃取过程。
• 使用Telegram聊天作为数据外泄渠道，用于外泄支付详情数据。

可能对本博客感兴趣的读者：

• 网络安全分析师和企业安全团队
• 恶意软件和欺诈防护分析师
• 威胁情报专家
• 网络调查人员
• 计算机应急响应小组（CERT）
• 执法部门和网络犯罪调查单位

Group-IB威胁情报门户： Group-IB客户可以访问我们的威胁情报门户，以获取有关钓鱼活动的更多信息。

攻击方案概述

攻击通常始于经典的鱼叉式钓鱼诱饵。受害者收到一封旨在制造紧迫感的电子邮件，例如关于服务即将到期或付款失败的警告——这正是Aruba公司本身警告其客户注意的策略。邮件中包含指向众多钓鱼页面之一的链接，这些页面精心模仿了官方的Aruba.it网页邮箱登录门户。

对该特定钓鱼工具包的分析强调了使用预填登录URL的做法，其中将受害者的电子邮件地址作为参数。当受害者点击链接时，页面会自动加载并预填登录表单中的电子邮件字段，营造出令人信服的合法性假象，从而降低用户的警惕性，使他们更有可能输入敏感数据。一旦数据被提交，就会被外泄给攻击者，随后受害者被重定向到合法的Aruba.it网站以尽量减少怀疑。

此外，钓鱼工具包的分析揭示了一个精心设计的四阶段流程，旨在系统地窃取受害者的凭证和财务数据。

第1阶段：规避与访问 攻击序列从CAPTCHA挑战开始，这是该工具包的第一道防线。此过滤器旨在排除安全机器人和扫描器的分析，增加恶意页面仅送达给人类目标的概率。

第2阶段：凭证窃取 在解决CAPTCHA后，受害者被重定向到一个高度仿真的Aruba.it客户登录页面副本。受害者输入其用户名和密码，这些信息会立即被外泄给攻击者。

第3阶段：财务数据窃取 为了降低怀疑，受害者随后会被展示一个看似合理的小额费用（例如4.37欧元）的虚假支付页面，通常以服务续费或验证为借口。此页面旨在窃取受害者的完整信用卡详细信息：姓名、卡号、有效期和CVV安全码。

第4阶段：3D安全/OTP窃取 在提交卡详细信息后，受害者立即被带到一个虚假的3D安全/OTP验证页面。页面提示他们输入银行发送到手机的一次性密码。这最后一条信息被捕获并发送给攻击者，赋予他们实时授权欺诈交易所需的一切。随后，受害者被重定向到一个加载屏幕，然后被送到合法的Aruba.it网站，使他们对自己的信息被盗毫不知情。

钓鱼工具包分析

该钓鱼工具包是一个为效率和规避而构建的综合性框架。它不是一个单一的页面，而是一个完整的、多阶段应用程序，旨在引导受害者完成完整的数据窃取过程。

该过程始于一个反机器人网关，用于过滤掉自动化安全工具，确保核心钓鱼页面仅对潜在的人类受害者显示。

一旦用户通过此检查，他们便进入主应用程序，该程序为攻击的每个阶段包含独立、高保真的模板：初始凭证登录、财务数据表单以及最终的OTP拦截页面。

当受害者在任何阶段提交其信息时，数据会通过多个渠道同时发送给攻击者。主要方法是向预先配置的Telegram聊天室直接发送消息，为攻击者提供即时通知。作为备份，数据也会保存在运行该工具包的攻击者机器上的本地日志文件中。

我们的分析还发现了第二个Telegram外泄渠道，被硬编码在工具包的客户端代码中。该渠道显然用于外泄支付详情数据，因为其参数与下图所示的不同。但是，如果向此Telegram渠道的外泄失败，下图所示的渠道将被用作回退或备份。

虽然存在针对Aruba.it的工具包，有些可能很简陋，有些则更“完善”，但它们都是危险的、分层的犯罪生态系统的一部分，该系统降低了发起钓鱼攻击的门槛。

Telegram生态系统

Telegram是整个操作的中枢神经系统。正如在许多其他案例中所见，它充当了网络犯罪的全服务平台，通常承载攻击生命周期的每个阶段。在所分析的钓鱼工具包案例中，我们能够识别出众多专门用于Aruba攻击活动的Telegram聊天室。

这些Telegram实体被用于：

• 分发与销售：宣布、推广和销售钓鱼工具包。在下图（取自我们的威胁情报平台）中，本文分析的工具包至少在一个Telegram频道中由实际开发者免费分发。
• 社区与支持：为犯罪分子创建交流工具、技术和支持的空间。
• 外泄机器人：使用机器人作为外泄数据的端点。这种方法比某些其他类型的传统基础设施更隐蔽，因为其流量与正常消息活动混在一起。

结论

Group-IB分析的钓鱼工具包例证了在线欺诈的工业化。曾经需要专业技术知识才能执行的操作，现在可以通过预先构建的自动化框架大规模执行。这些操作就像非法的SaaS业务一样运作——模块化、基于订阅，并通过Telegram社区提供支持。

这种演变强调了一个关键事实：网络钓鱼不再是静态的或低技能威胁。它是一个动态的、由市场驱动的生态系统，并且不断创新。每一个新的工具包都加速了攻击周期，降低了准入门槛，并扩大了网络欺诈的全球范围。

网络钓鱼可能是最古老的网络犯罪形式之一，但在其当前的工业化形式下，它代表了自动化和欺诈的新前沿——这需要情报驱动、协作性的防御。

建议

该工具包的多阶段性质及其拦截OTP的能力突显了传统安全建议的局限性。需要更强大、多层次的防御——双方（组织/服务提供商和最终用户）都致力于安全——来应对这种威胁。

对于组织和服务提供商：

• 实施技术解决方案，如安全电子邮件网关（SEG），以过滤恶意内容和检查URL。强制执行电子邮件认证标准，如SPF、DKIM和DMARC。
• 主动监控冒充域名和钓鱼网站，主动请求将其下线。为用户提供一个专用页面来报告滥用行为。
• 采用零信任方法，确保不将任何连接视为理所当然。始终仔细检查一切，并持续监控所有流量。当请求任何（关键）操作时，通过多个独立的渠道发送通知或要求批准。通过重定向到银行官方网站进行多因素身份验证/授权（如3DS或应用程序验证等）来完成支付，而不是将所有流程都托管在自己的基础设施上。

对于最终用户：

• 对任何使用社会工程技术（如制造紧迫感或恐惧）的电子邮件保持怀疑态度。在点击之前，始终验证发件人并悬停检查链接的目标URL。请记住，HTTPS锁定图标并不能保证网站的合法性，因为目前大量的钓鱼网站都在使用它。
• 如果您收到来自服务提供商的可疑电子邮件，请避免使用其中的任何链接。相反，请打开一个新的浏览器窗口并手动登录您的账户。查找新的通知，或尝试查找电子邮件中提供的相同信息（例如待支付的发票）。服务提供商（如Aruba）通常致力于支持其客户，通过特定渠道（如专用网站页面和客户援助服务）提供支持——用户可以通过这些渠道获取准确信息并报告可疑活动，包括潜在的钓鱼尝试。
• 尽管一些钓鱼工具包能够绕过它，但在您的关键账户上启用多因素认证仍然非常重要。在可用的情况下，优先使用通行密钥（passkeys）而不是基于短信或应用程序的OTP，以消除OTP被盗的威胁。使用密码管理器确保您为每个网站都设置了唯一的强密码。

入侵指标（IOCs）

网络IOCs

Telegram IOCs