新型求職釣魚手法盯上Web3工程師 假冒AI應用程式暗植竊密軟體

記者孫敬／編譯

近期網路上出現針對Web3區塊鏈工程師的釣魚攻擊，駭客利用時下最熱門的AI，巧妙地包裝成憑證填充惡意軟體，這背後的幕後推手，是一個過去以透過電話對IT人員進行社交工程攻擊而聞名的組織LARVA-208，這次他們將目標轉向區塊鏈工程師，打造了一個精心製作的假AI應用程式來進行詐騙。

延伸閱讀：安卓惡意程式偽裝遊戲APP 點擊便可竊取帳密、個人資產

求職信藏惡意連結，偽裝驅動程式暗中部署Fickle竊密軟體

這波攻擊的開端，源自假冒的Web3工程師工作機會或查看作品集訊息，這些聯繫過程會引導受害者前往假冒的AI公司應用程式。駭客利用了MITRE ATT&CK技術T1566.002（魚叉式網路釣魚連結），誘騙受害者透過特別的邀請碼和電子郵件進入惡意平台。

一旦受害者進入這個假冒平台，會看到一個的錯誤訊息，聲稱他們的音訊驅動程式過時或有問題，並告知他們下載一個看似正版的Realtek HD音訊驅動程式。

資安分析團隊Catalyst發現，LARVA-208駭客組織特別在惡意域名norlax.ai上，精心仿製了一個與知名合法AI工作平台Teampilot AI幾乎一模一樣的介面。這種誤植域名（Typosquatting）技術（T1583.001），透過相似的介面來那些欺騙可能熟悉合法AI協作工具的工程師。

然而，這個被下載的「驅動程式」實際上是高度複雜的惡意軟體。它會執行內嵌的PowerShell命令（T1059.001），從LARVA-208的命令與控制（C2）基礎設施中，下載竊密軟體Fickle。

Fickle竊密軟體展現了全面的資訊收集能力，它會系統性地收集受害者的設備辨識資料、硬體規格、作業系統細節、地理位置資訊（包括IP位址和地理位置）。此外，惡意軟體還會清查受害者電腦中已安裝的軟體、監控正在運行的進程，並將所有收集到的情報傳輸到LARVA-208的命令與控制伺服器（T1583.004），這些伺服器是透過FFv2的防彈代管服務（bulletproof hosting service）架設的。

資料來源：Cyber Security News

瀏覽 248 次