针对美国政府承包商的持续网络钓鱼活动扩大了其运作范围,以推动更高质量的诱饵和制作更好的文件。
这些网络钓鱼电子邮件的诱惑是对利润丰厚的政府项目的投标请求,将它们带到仿冒合法联邦机构门户的网络钓鱼页面。
这与 INKY 在 2022 年 1 月报告的操作相同,威胁参与者使用随附的 PDF 文件,其中包含有关美国劳工部项目招标流程的说明。
根据 Cofense 的一份报告,这些特工已经扩大了他们的目标,现在还欺骗了交通部和商务部。
此外,现在在消息中使用了大量不同的诱饵,更好的网络钓鱼网页行为,以及删除了在附件 PDF 的先前版本中显示欺诈迹象的伪影。
完善高质量的广告系列
在他们之前取得的成就的基础上,该活动背后的网络钓鱼攻击者已经进行了仔细的修改以提高他们的成功率。
从网络钓鱼电子邮件开始,Cofense 报告称它们现在具有更一致的格式、更大的徽标,并且更喜欢包含指向 PDF 的链接而不是附加文件。
PDF 文件曾经包含有关如何投标的详细说明,其中包含过多的技术信息。现在,它们已被简化并缩小尺寸,具有更显眼的徽标和指向网络钓鱼页面的链接。
此外,PDF 之前的签名者是“edward ambakederemo”,而现在,文档中的元数据与被欺骗的部门相匹配。例如,据推测由威斯康星州交通部发送的诱饵带有“WisDOT”的签名。
网络钓鱼网站也得到了针对性的改进,在同一域中的所有网页上都使用了 HTTPS。
除了之前为该活动提供服务的“.gov”网站外,威胁参与者现在还使用“transportation[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com”等很长的域来制作它们从无法在 URL 栏中显示完整长度的移动浏览器打开时显示为合法。
外表
看来这场战役的特工不太可能很快停止,因为他们现在正在同时扩大目标范围,同时改进他们的诱饵。
考虑到在此网络钓鱼操作中使用的电子邮件、PDF 和网站本质上是来自投标请求和国家投标门户网站的实际内容的副本,因此可能很难捕捉到欺诈的迹象。
“鉴于网络钓鱼链的每个领域都取得了进步,这些活动背后的威胁参与者很可能会继续创新并改进他们已经可信的活动,”Cofense 预测。
防止这种情况的唯一方法是检查所有详细信息,如发送地址、登陆 URL,并最终通过搜索引擎访问投标门户,而不是通过提供的链接。
如果不确定,请尝试在线搜索 URL,因为这些长期活动中的许多活动已经发布了确认其欺诈性质的妥协指标。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Microsoft 365网络钓鱼冒充美国政府机构进行攻击
