网络罪犯利用AI伪造版权声明传播恶意软件

攻击手法升级

网络犯罪分子长期依赖恐惧心理操纵受害者，而版权声明正成为他们的最新工具。根据Cofense Intelligence的研究，攻击者正在发送看似合法内容删除请求的信息给多个用户。

多语言钓鱼活动

报告详细说明了一个被称为"Lone None"的越南威胁行为者一直在分发冒充律师事务所的活动，发送声称标记目标网站或社交媒体账户上存在侵权内容的信息。这波活动的显著特点是使用多种语言，表明依赖机器翻译或AI工具生成跨区域的 convincing 模板。

恶意软件传播链条

受害者被施压点击链接，这些链接非但没有解决所谓的版权问题，反而导致恶意软件下载。该攻击链具有几个不寻常的特征，使其与更传统的网络钓鱼尝试区分开来：

非传统托管方式

运营商没有依赖普通托管方法，而是将有效负载信息嵌入Telegram机器人资料页面。从那里，目标被引导至Dropbox或MediaFire等免费平台托管的存档文件。

恶意文件伪装

在这些存档文件中，像PDF阅读器这样的合法应用程序与恶意文件捆绑在一起。恶意软件加载程序被伪装成正常的Windows进程，并使用混淆的Python脚本来建立持久性并获取额外组件。

新型信息窃取程序

除了熟悉的PureLogs Stealer之外，Cofense报告还发现了一种名为Lone None Stealer（也称为PXA Stealer）的新恶意软件变种。该工具专为加密货币盗窃设计，悄悄将被复制的钱包地址替换为攻击者控制的地址。

通信与基础设施

与运营商的通信通过Telegram机器人处理，使基础设施保持灵活且更难被破坏。尽管当前活动侧重于信息窃取，但所使用的方法在未来的迭代中同样可以轻松传递勒索软件。

防护建议

虽然主机上不寻常的Python安装等技术指标有助于检测，但最有效的防护仍然是培训和警惕性。高级电子邮件安全工具和端点保护的组合提供了强大的防御，因为仅靠过滤无法完全阻止这些版权欺骗活动。