鱼叉式钓鱼警报:NetBird 远程访问木马借虚假招聘传播
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
Trellix研究中心发现针对金融高管的鱼叉式钓鱼攻击,攻击者伪装成罗斯柴尔德公司招聘人员,诱骗受害者安装恶意软件NetBird。攻击利用社会工程学和规避技术,成功绕过防御系统。建议企业监控Firebase行为,检查验证码异常,并拦截可疑执行流。
🎯
关键要点
- Trellix研究中心发现针对金融高管的鱼叉式钓鱼攻击。
- 攻击者伪装成罗斯柴尔德公司的招聘人员,诱骗受害者安装恶意软件NetBird。
- 攻击结合了社会工程学和规避技术,成功绕过防御系统。
- 初始钓鱼邮件伪装成招聘邮件,以'战略机遇'为诱饵。
- 受害者填写验证码后被重定向至下载恶意软件的ZIP文件。
- VBS脚本静默下载次级载荷,安装NetBird和OpenSSH,创建隐藏管理员账户。
- 攻击页面托管于Firebase等平台,提升可信度,规避检测机制。
- 建议企业监控Firebase行为,检查验证码异常,并拦截可疑执行流。
❓
延伸问答
鱼叉式钓鱼攻击是如何进行的?
攻击者伪装成罗斯柴尔德公司的招聘人员,通过伪装的招聘邮件诱骗受害者填写验证码,随后重定向至下载恶意软件的页面。
NetBird恶意软件的功能是什么?
NetBird恶意软件可以创建隐藏的本地管理员账户,启用远程桌面协议访问,并配置防火墙规则。
企业如何防范这种钓鱼攻击?
企业应监控Firebase和WebApp托管行为,检查验证码异常,并拦截可疑的MSI和VBS执行流。
攻击者使用了哪些技术来规避防御系统?
攻击者结合了社会工程学和规避技术,使用Firebase托管恶意页面和自定义JavaScript验证码,成功绕过了多数标准防御系统。
钓鱼邮件是如何伪装的?
钓鱼邮件伪装成罗斯柴尔德公司的招聘邮件,以'战略机遇'为诱饵,附件并非真实PDF,而是恶意页面的链接。
受害者在攻击中会经历什么?
受害者填写验证码后,会被重定向至下载包含恶意软件的ZIP文件,随后恶意脚本会静默下载并安装NetBird。
➡️
