麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

區(qū)塊鏈安全咨詢公司 曲速未來 消息：前段時(shí)間，一場(chǎng)無恥的網(wǎng)絡(luò)釣魚活動(dòng)讓冰島感到驚訝，向成千上萬的人發(fā)送了惡意電子郵件，企圖欺騙他們安裝強(qiáng)大的遠(yuǎn)程訪問工具。

即使?jié)撛谑芎φ呷藬?shù)可能看起來很低，當(dāng)?shù)鼐揭脖硎具@是襲擊該國(guó)的最大網(wǎng)絡(luò)攻擊。人們必須考慮到冰島的人口約為35萬，其中大約一半的公民居住在首都雷克雅未克。相比之下，2016年倫敦的人口超過850萬。

攻擊者使用同形異義技巧

襲擊事件發(fā)生在10月6日星期六晚上，其中有消息冒充冰島警察。這些電子郵件要求收件人進(jìn)行詢問，并警告他們違規(guī)行為導(dǎo)致發(fā)出逮捕令。

一個(gè)鏈接導(dǎo)致了一個(gè)欺騙性的L?greglan版本-冰島警察，似乎提供了更多有關(guān)此事的信息。

為了使一切看起來都是真實(shí)的，該活動(dòng)的作者使用同形異義技巧來注冊(cè)一個(gè)看起來像原始“l(fā)ogreglan.is”的域名。

“[...]攻擊者注冊(cè)了域名www.logregian.is - 使用小寫“i”（乍一看，可能看起來像小寫“L”或“l(fā)”），”研究人員在調(diào)查期間與警方合作時(shí)解釋。

他們補(bǔ)充說，消息中的鏈接使用切換小寫“i”為大寫“i”或“I”，所以“i”實(shí)際上看起來像一個(gè)小的“L”-使它與“l(fā)ogreglan”無法區(qū)分幾乎所有網(wǎng)絡(luò)用戶。

Remcos RAT再次用于惡意目的

高級(jí)威脅分析師在談到BleepingComputer時(shí)說，對(duì)于冰島而言，威脅是一個(gè)全新的威脅，指的是網(wǎng)絡(luò)釣魚計(jì)劃的復(fù)雜性。

攻擊者使用的工具是Remcos，這是一種功能強(qiáng)大的工具，可作為訪問遠(yuǎn)程計(jì)算機(jī)的合法解決方案，之前用于惡意目的。

研究人員告訴我們，攻擊中使用的版本是2.0.7 Pro，它提供對(duì)其運(yùn)行的工作站的完全訪問權(quán)限。

遠(yuǎn)程訪問工具（RAT）的開發(fā)人員意識(shí)到他的Remcos有時(shí)被用于惡意目的，并告訴安全研究人員，因此實(shí)施了一種機(jī)制來防止濫用。

復(fù)雜的網(wǎng)絡(luò)釣魚計(jì)劃

網(wǎng)絡(luò)釣魚郵件中的鏈接將受害者帶到一個(gè)模仿冰島警方官方網(wǎng)站幾乎完美的網(wǎng)站，并要求用戶輸入他們的社會(huì)安全號(hào)碼（SSN）。

在冰島，可以通過銀行提供的服務(wù)對(duì)名稱和SSN進(jìn)行公開咨詢，因此個(gè)人必須登錄當(dāng)?shù)劂y行的在線帳戶才能執(zhí)行此程序。

如果用戶輸入了錯(cuò)誤的SSN，則合法服務(wù)會(huì)顯示提示進(jìn)行更正的警報(bào)。網(wǎng)絡(luò)釣魚網(wǎng)站無法驗(yàn)證數(shù)字的真實(shí)性，因此他們通常會(huì)接受用戶輸入的任何信息。

但是，在此活動(dòng)的情況下，攻擊者能夠以某種方式檢查數(shù)字的有效性，從而增加了欺騙性。一種理論是他們使用的是過去泄露的數(shù)據(jù)庫(kù)。

陷阱很難避免

攻擊者建立了一個(gè)復(fù)雜的網(wǎng)絡(luò)釣魚方案，普通用戶很難檢測(cè)到。

虛假的冰島警方網(wǎng)站要求受害者輸入他們?cè)诰W(wǎng)絡(luò)釣魚郵件中收到的身份驗(yàn)證碼，以獲取有關(guān)針對(duì)他們的警方案件的更多詳細(xì)信息。

在下一步中，受害者在受密碼保護(hù)的檔案中接收所謂的文件，并在網(wǎng)頁(yè)上提供密鑰，該密鑰實(shí)際上是用于竊取信息并允許攻擊者遠(yuǎn)程訪問受害計(jì)算機(jī)的打包RAT。

為冰島人量身定制的運(yùn)動(dòng)

“提取的.rar文件是一個(gè).scr文件（Windows屏幕保護(hù)程序）偽裝成一個(gè)長(zhǎng)文字的文檔，因此文件擴(kuò)展名是隱藏的。文件名是'Boeunískyrslut?kuLRH30óktóber.scr'，大致翻譯為“10月30日被警方打電話詢問，”研究人員指出。

對(duì)RAT的分析表明，設(shè)置接收被盜數(shù)據(jù)的命令和控制（C2）服務(wù)器位于德國(guó)和荷蘭。

研究人員發(fā)現(xiàn)，攻擊者利用Remcos竊取銀行信息，因?yàn)樗鼨z查受害者是否可以訪問冰島最大的銀行。

此時(shí)攻擊者仍然不為人知，但警方認(rèn)為該活動(dòng)是熟悉冰島行政系統(tǒng)的人的工作。電子郵件和虛假網(wǎng)站上的文字支持這一理論。

針對(duì)該活動(dòng)的防御反應(yīng)非常迅速，登陸頁(yè)面的域名在檢測(cè)到攻擊后的第二天被刪除。

在襲擊期間發(fā)送了數(shù)以千計(jì)的惡意電子郵件，但警方?jīng)]有發(fā)布有關(guān)受害者人數(shù)的任何信息。

研究人員表示，被網(wǎng)絡(luò)釣魚計(jì)劃所欺騙的人不得不改變他們的所有密碼，并格式化他們的計(jì)算機(jī)。

區(qū)塊鏈安全咨詢公司 曲速未來 表示：據(jù)了解到，網(wǎng)絡(luò)釣魚攻擊僅依賴于Remcos遠(yuǎn)程訪問工具來竊取信息，目標(biāo)銀行在冰島，并為攻擊者提供遠(yuǎn)程訪問受感染計(jì)算機(jī)的權(quán)限。