與過去常見的大規模釣魚攻擊不同的是，駭客們採用的是更為精準的「一對一」手法。記者孫敬／編譯

近期，一波由國家級威脅團體發動的惡意攻擊正在暗中進行，駭客利用虛假的工作機會，來誘騙求職者並傳遞進階惡意程式。與過去常見的大規模釣魚攻擊不同的是，駭客們採用的是更為精準的「一對一」手法，他們會先透過專業社群網站鎖定目標，並發送個人化訊息，訊息中包含詳細的職位描述與精美的品牌圖案，讓求職者信以為真。

延伸閱讀：全新釣魚郵件手法？駭客假冒GitHub官方通知竊取開發者帳密

[caption id="attachment_102743" align="aligncenter" width="1200"] 駭客打造了客製化的求職詐騙手法。（圖／科技島資料照）[/caption]

從個人到企業，求職信如何成為滲透內網的跳板

一旦受害者點擊連結，便會被導向一個精心偽造的職涯網站，頁面與知名航太、國防企業的官方網站幾乎一模一樣。當受害者輸入帳號密碼，網站會立即傳送一個惡意檔案壓縮包。由於檔案是在登入成功後才下載，這讓資安研究員難以透過一般爬蟲程式來發現這些假網站。駭客還會使用隱私服務註冊網域，並為每個受害者創建獨一無二的登入憑證，以確保行動安全並降低被偵測的風險。

這些攻擊的影響範圍不只於個人電腦，駭客最終的目標是藉由這些受害者，建立進入企業內部的永久通道。被鎖定的組織橫跨中東和歐洲，包括電信、航太和國防承包等關鍵領域。在一個被攔截的案例中，一名在歐洲航太公司應徵工程師職位的求職者，在不知情的情況下部署了一個基於SlugResin的惡意酬載，該酬載在執行後幾秒鐘內就建立了反向Shell連線。

駭客詐騙的雙重武器，MiniJunk與MiniBrowse

資安公司Check Point的研究人員發現，駭客在此次行動中使用了名為MiniJunk和MiniBrowse的新型惡意軟體，這兩種惡意程式都採用模組化架構，並透過多層混淆技術來躲避靜態與動態分析。

MiniJunk惡意軟體專注於長期潛伏，它會修改Windows API呼叫，強行從非預設路徑載入惡意動態連結函式庫（DLL）檔案，這種技術能繞過常見的防毒軟體啟發式掃描，而MiniBrowse則是在受害者的電腦上靜默地竊取網路瀏覽紀錄、瀏覽器歷史、以及儲存的登入憑證，並透過加密通道將這些資料傳送出去。

藉由這些入侵行為，駭客能夠持續存取公司網路，為其間諜活動、竊取智慧財產和後續的橫向移動。資安專家指出，這些惡意程式能將載入器隱藏在看似正常的執行檔中，從而實現隱匿和長期潛伏，且不會立即觸發端點安全工具的警報。

為了防範這類攻擊，企業和開發者應加強程式碼完整性政策，並持續監控不尋常的DLL載入行為，以及分析處理程序注入模式和驗證DLL搜尋路徑，以應對這波新興的網路威脅。

資料來源：Cyber Security News

這篇文章 詐騙升級客製化？駭客祭求職釣魚 鎖定電信、航太和國防領域 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

攻擊者不僅偽造了官方郵件，更濫用了臉書自身的外部網址警告系統，讓惡意連結看似無害，成功規避了使用者與安全掃描器的警覺。記者孫敬／編譯

最近網路上出現一種釣魚攻擊，目標鎖定全球臉書使用者，試圖透過惡意電子郵件竊取登入憑證。攻擊者不僅偽造了官方郵件，更濫用了臉書自身的外部網址警告系統，讓惡意連結看似無害，成功規避了使用者與安全掃描器的警覺。

在惡意郵件內容中，通常以「未經授權的登入嘗試」或「需要驗證帳戶活動」，信中甚至包含官方社群媒體圖標和版權聲明，增加了真實性來誘導收件人點擊。

延伸閱讀：ChatGPT 也能騙過CAPTCHA？AI助理的「人性弱點」如何成為資安新破口

[caption id="attachment_192844" align="aligncenter" width="1536"] 臉書內建的轉址服務被駭客拿來當作惡意連結的跳板。（圖／臉書）[/caption]

以假亂真的官方轉址服務，如何騙過你我的眼睛？

這項攻擊手法，利用臉書自身的facebook.com轉址服務作為感染媒介。SpiderLabs的分析師在檢查數十封郵件樣本後發現，這些惡意網址都遵循著一個規律；它們看似正常的網域，卻會先經過臉書的轉址服務（例如httpst.co/MS24b2xu6p），再將受害者導向攻擊者的伺服器。

當使用者點擊這個惡意連結時，臉書的網頁會先跳出一個警告，但最終仍會將使用者轉發到偽造的釣魚網站，這一步驟巧妙地利用了使用者對臉書官方網域的信任，讓他們誤以為目的地是安全的，從而降低了警惕。

[embed]https://twitter.com/SpiderLabs/status/1968352824745443785[/embed]

一旦進入釣魚網站，受害者會看到一個與臉書登入頁面幾乎一模一樣的介面。使用者輸入帳號與密碼後，這些資訊會立即被傳送到攻擊者的伺服器。為了進一步降低懷疑，偽造的登入頁面會在接收到憑證後，顯示一個「密碼錯誤」的提示，並要求使用者重新輸入。在第二次輸入後，攻擊者便成功竊取到正確的帳號資訊。

這場攻擊活動橫跨多個語言，包括英文、德文、西班牙文和韓文，被竊取的資料包括電子郵件地址、電話號碼和密碼，這些都儲存在攻擊者的伺服器上，供日後濫用。

資料來源：Cyber Security News

這篇文章 最新臉書釣魚手法曝光 駭客利用官方轉址服務來騙取帳密 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

一項長達三年，潛伏在Google Cloud和Cloudflare基礎設施上的精密網路釣魚行動，近日終於被揭露。記者孫敬／編譯

一項長達三年，潛伏在Google Cloud和Cloudflare基礎設施上的精密網路釣魚行動，近日終於被揭露。這場惡意活動冒充包括美國國防承包商洛克希德馬丁在內的各大公司，駭客利用過期的合法網域與先進的偽裝技術，成功逃避了兩大網路服務巨頭的偵測，凸顯出全球最大網路服務供應商在偵測能力上的失靈。

延伸閱讀：跨國駭客聯盟對Google下最後通牒！要求開除兩名資安小組員工 否則公開資料庫

[caption id="attachment_190763" align="aligncenter" width="1024"] 駭客利用合法過期網域，掩護經改造後的賭博網站。（圖／AI生成）[/caption]

早在2021年駭客就在布局合法網域的賭博行為

這場騙局來自駭客鎖定那些信譽良好、且擁有活躍社群媒體的高價值網域，透過購買過期的合法網域，隨後將其變成財富500大企業的假網站，使冒充行為更具說服力。其中一個引人注目的案例是militaryfighterjet.com，這個原本提供軍用飛機資訊的網域，被改造成一個賭博網站，同時也完美複製了洛克希德馬丁的公司網站。

駭客運用了隱蔽（cloaking），根據訪客的瀏覽器類型和地理位置顯示不同的內容。當搜尋引擎爬蟲或用戶從Google搜尋結果進入時，會看到看似合法的企業網站，但如果直接在瀏覽器中輸入網址，則會顯示賭博內容。

Deep Specter Research的分析師在調查militaryfighterjet.com網域時，揭發了這個大規模的行動。他們的分析顯示，該基礎設施包含超過48,000個活躍的虛擬主機，分佈在86個不同的叢集，大部分主機位於香港和台灣的Google Cloud平台上。研究人員還發現，此行動最早可追溯至2021年，規模擴張時期恰巧與全球重大的資安事件和資料外洩事件相吻合。

精密分工與工具濫用，駭客行動專業化

從底層的基礎設施和部署方法來看，這個行動展現出極高的技術成熟度。Deep Specter Research分析師指出，駭客利用合法的網頁爬取工具「HTTrack Website Copier」來複製目標企業的網站，並在複製網站的HTML註解中發現了該工具的使用痕跡，甚至包含了網站被複製的時間戳記。

研究人員對原始碼分析後發現，偽裝系統會檢查HTTP標頭、使用者代理字串和IP地理位置數據，以辨識訪客是合法用戶、搜尋引擎機器人還是安全研究員。這種選擇性的內容傳遞方式，使得惡意網站能夠維持高搜尋引擎排名，同時向目標族群提供賭博內容和潛在惡意軟體。

這個基礎設施展現了驚人的韌性和可擴展性，駭客在軍事、醫療和製造等多個產業中，建立超過200個仿冒品牌，最大的單一叢集包含了近6,000個虛擬主機，複製單一組織的內容，這顯示他們可能正在為更大規模的資料外洩行動做準備。這種層級分明的指揮結構，包含了8個上層管理主機和78個常規叢集管理員，是專業網路犯罪組織的典型特徵。

資料來源：Cyber Security News

這篇文章 你是那條被釣的魚嗎？駭客藉過期合法網域「改造」成賭博網站 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

近期網路上出現針對Web3區塊鏈工程師的釣魚攻擊，駭客利用時下最熱門的AI，巧妙地包裝成憑證填充惡意軟體。記者孫敬／編譯

近期網路上出現針對Web3區塊鏈工程師的釣魚攻擊，駭客利用時下最熱門的AI，巧妙地包裝成憑證填充惡意軟體，這背後的幕後推手，是一個過去以透過電話對IT人員進行社交工程攻擊而聞名的組織LARVA-208，這次他們將目標轉向區塊鏈工程師，打造了一個精心製作的假AI應用程式來進行詐騙。

延伸閱讀：安卓惡意程式偽裝遊戲APP 點擊便可竊取帳密、個人資產

[caption id="attachment_7787" align="aligncenter" width="2560"] 駭客目光鎖定找工作的Web3開發者。（圖／科技島圖庫）[/caption]

求職信藏惡意連結，偽裝驅動程式暗中部署Fickle竊密軟體

這波攻擊的開端，源自假冒的Web3工程師工作機會或查看作品集訊息，這些聯繫過程會引導受害者前往假冒的AI公司應用程式。駭客利用了MITRE ATT&CK技術T1566.002（魚叉式網路釣魚連結），誘騙受害者透過特別的邀請碼和電子郵件進入惡意平台。

一旦受害者進入這個假冒平台，會看到一個的錯誤訊息，聲稱他們的音訊驅動程式過時或有問題，並告知他們下載一個看似正版的Realtek HD音訊驅動程式。

資安分析團隊Catalyst發現，LARVA-208駭客組織特別在惡意域名norlax.ai上，精心仿製了一個與知名合法AI工作平台Teampilot AI幾乎一模一樣的介面。這種誤植域名（Typosquatting）技術（T1583.001），透過相似的介面來那些欺騙可能熟悉合法AI協作工具的工程師。

然而，這個被下載的「驅動程式」實際上是高度複雜的惡意軟體。它會執行內嵌的PowerShell命令（T1059.001），從LARVA-208的命令與控制（C2）基礎設施中，下載竊密軟體Fickle。

Fickle竊密軟體展現了全面的資訊收集能力，它會系統性地收集受害者的設備辨識資料、硬體規格、作業系統細節、地理位置資訊（包括IP位址和地理位置）。此外，惡意軟體還會清查受害者電腦中已安裝的軟體、監控正在運行的進程，並將所有收集到的情報傳輸到LARVA-208的命令與控制伺服器（T1583.004），這些伺服器是透過FFv2的防彈代管服務（bulletproof hosting service）架設的。

資料來源：Cyber Security News

這篇文章 新型求職釣魚手法盯上Web3工程師 假冒AI應用程式暗植竊密軟體 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。