揭秘尼日利亚的社会工程师

 

014145dsP.jpg

这些尼日利亚土豪正准备推出新玩意!

还记得419 scams [wiki]么。频繁发送邮件,声称自己是一名有钱人,请求他或她帮忙转移财产。事实上,当受害者移交相关财产信息以期望得到更大回报的时候,骗子们洗劫银行账户后就消失了!

“似乎这些骗子使用攻击技术以及盗取数据信息的恶意软件之前,使用了更复杂的网络犯罪和网络间谍组织手段”Palo Alto网络中心研究人员说。 来自Unit 42(威胁情报团队)的研究人员,概述了星期二发布的《419诈骗进化》中一系列对台湾和韩国企业进行的攻击。

在过去,社会工程学诈骗的主要目标“有钱,且毫无戒心的人”。自从有了新工具,这些419诈欺犯似乎改变了受害人的范围以及业务。

“演员们没有展示高超技术上的高才能,但表现出对非最初目标的威胁正在日益增长” Unit 42 情报总监Ryan Olson这样说。

未知的复杂攻击

Palo Alto网络中心追踪了这次攻击,Unit 42研究人员,为此花费了近3个月时间。这次攻击始于一封恶意Email的附件,当点击附件,受害者的电脑就会自动安装一系列的恶意软件。其中一个例子就是使用了一款名为NetWire的远控软件,这款远控软件支持管理Windows,Mac OS,Linux的机器。另一种工具DataScrambler,被用来重新打包NetWire,避免杀毒软件的查杀。报告中说DarkComet 远控也被用于这些攻击。

这些工具十分廉价,随便在一个地下论坛都可以轻易获取,并可能“用于部署到任何人的电脑上”报告中指出。

419诈欺犯是社会工程学的这块的大神级人物了,但作为新手菜鸟去使用这些恶意软件,就会明显表现出对整个操作的不熟悉。尽管这些命令和操作是在动态DNS(来自NoIP.com)和VPN(来自NVPN.net)服务器的基础上完成的,一些攻击者配置DNS的时候还是指向了自己拥有的IP地址。报告中说,研究人员甚至可以追踪连接到攻击者的手机和互联网提供商。

诈欺犯们还要学习很多

目前,攻击者还不会利用软件漏洞,只是依靠社会工程学(他们在这块非常牛逼)诱骗受害者安装恶意软件,似乎他们盗取密码和其他数据只是为了推动后续的社会工程学攻击!

“到目前为止我们还没有发现,但不能排除这种可能”研究人员如是说。

研究人员在发现一个尼日利亚攻击者在FaceBook上反复提到恶意软件,询问NetWire的特色功能或者使用Zeus和SpyEye的人请求技术支持。虽然研究人员并没有联系到这群特殊的演员,但是有一个例子,“他操作419诈骗,开始了他的犯罪生涯,使用在地下论坛发现的恶意工具提升技术”Palo Alto网络中心指出。

报告中建议屏蔽掉所有可执行附件的Email,检查.zip和.rar等潜在的恶意文件档案,防火墙也应该屏蔽掉一些被滥用的动态DNS域,用户也应该去适当了解如何鉴别恶意软件的知识。这份报告中包括了Snort和Suricata对NetWire探测的规则,研究人员同时还发布了一个免费工具来揭秘攻击者窃取的数据。

“在这个时候,我们不指望这些演员们会去开发新的工具或者是Exp,但是他们中更加强悍的演员可能会制造新的工具和新的技术”

91ri.org的译者注:整篇文章有些不通的地方,希望各位海涵。