台灣企業的FB粉專成為駭客的目標 遭受散佈竊資軟體的攻擊威脅

Infostealer Phishing 攻擊正瞄準台灣企業的粉絲專頁管理員及廣告管理員

Photo Credit: Infosecurity Magazine

一個尚未辨識的網路威脅者正在針對台灣企業粉絲專頁或是廣告管理員用戶進行網路釣魚攻擊,其目的是散布像是 Lumma 或 Rhadamanthys 這樣的資訊竊取惡意軟體。

這些誘餌訊息內含一個連結,當受害者點擊後,便會被引導至Dropbox或Google Appspot網域,進而觸發下載動作,下載的是包裹著假PDF執行檔的RAR壓縮檔,藉而由此傳送資訊竊取惡意軟體。

誘餌電子郵件和偽造的PDF檔名假冒公司法律部門的樣子,試圖引誘受害者下載並執行惡意軟體。

此外,這些不法行為者還以台灣一家知名工業馬達製造商和另一家知名網路商店的名義發送網路釣魚郵件,聲稱受害者的業務上有侵犯版權的行事。

根據威脅情資團隊 Cisco Talos 研究人員表示:「這些郵件要求受害者在24小時內移除侵權內容,停止未經授權的使用,並警告倘若不遵循,將會面臨可能的法律行動和賠償索求。」

他們還指出,這些網路威脅者還使用了多種的技術和工具,以規避防毒軟體偵測和沙箱分析,例如Shellcode加密、程式碼混淆,並將LummaC2和Rhadamanthys等資訊竊取惡意軟體嵌入合法的系統程式之中。

Lumma Stealer 是一種專門從被入侵系統中竊取資訊的惡意軟體,其目標包括系統詳細資訊、網頁瀏覽器及瀏覽器擴充功能等資料。

Rhadamanthys 是一種在地下論壇出售的高階資訊竊取工具,首次浮出檯面是在兩年前,這支惡意軟體專門用來蒐集系統資訊、帳戶憑證、加密貨幣錢包、密碼、Cookies以及其他應用程式中的資料。

這次的網路釣魚行動至少自7月以來持續進行中,最初的攻擊手法是透過網路釣魚郵件附帶的惡意軟體下載連結。這些郵件中使用繁體中文的誘騙內容,由此可推斷其目標對象為使用中文的用戶。

另外,也有觀察到一些網路釣魚活動是假冒OpenAI來進行,其目標指向全球的企業,指示他們點擊令人混淆的超連結以更新付款資訊。

「這次攻擊事件是由單一網域向超過1000位收件者發送的」,根據Barracuda的報告指出:「郵件內容使用了不同的超連結,可能是為了規避偵測。這些郵件通過了DKIM和SPF驗證,表示郵件是從該網域授權的郵件伺服器發出的。然而,該網域本身卻是非常可疑。」

LummaC2 和 Rhadamanthys相關的部分的入侵指標(IOCs):

03ed5c2b3a8b34f8c7ef110f78926c42
ff1156ab3a8226f8ac89bae78c990ebb85f3138b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