关键词
网络钓鱼
一场精心策划的网络钓鱼攻击正在瞄准求职者,黑客通过伪造 Google 招聘机会,利用社交工程技巧窃取 Gmail 登录凭据和个人信息。
这一恶意操作利用了 Google 品牌的信任,伪造了令人信服的招聘邮件,诱导受害者进入虚假的登录页面,从而捕获其身份验证信息。
该攻击的主要手段是通过邮件社交工程,黑客伪装成 Google 人力资源代表,提供高薪职位机会。
这些欺诈邮件包含精心编写的职位描述和申请流程,看起来非常合法,带有官方的品牌标识和专业的沟通风格,仿佛是 Google 正式的招聘信函。
网络安全研究员g0njxa在调查针对大型科技公司的凭证盗窃活动时发现了这一钓鱼攻击。
证书滥用与规避技术
这次恶意软件攻击展示了通过滥用扩展验证(EV)证书来实现高度规避的能力。
攻击者已获得合法的Apple Developer ID证书,使用如“THOMAS BOULAY DUVAL”和“Alina Balaban”这样的名字,使其恶意应用能够绕过初步的安全审查机制。
这些签名的 DMG 文件在VirusTotal上完全未被检测到,成功实现了对安全厂商的完全规避。
分析恶意启动程序时,发现攻击者故意将签名者的名字嵌入标识符字符串中,采用类似“thomas.parfums”的模式,对应于“Thomas Boulay Duval”。
Mach-O 二进制文件包含连接到远程 AppleScript 载荷的嵌入式引用,利用Odyssey Stealer框架进行凭证收集操作。
恶意基础设施
该攻击活动的基础设施包括被攻陷的域名,如franceparfumes[.]org,用于托管恶意脚本,命令和控制服务器位于 IP 地址 185.93.89.62。
这些证书对网络犯罪分子而言具有重要财务意义,因为 Apple 的开发者认证过程涉及大量的时间和资金成本,一旦被撤销,将对持续的恶意操作产生重大影响。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴