据观察,一个名为 GXC Team 的讲西班牙语的网络犯罪组织将网络钓鱼工具包与恶意 Android 应用程序捆绑在一起,将恶意软件即服务 (MaaS) 产品提升到一个新的水平。
自 2023 年 1 月以来一直在追踪电子犯罪行为者的新加坡网络安全公司 Group-IB 将犯罪软件解决方案描述为“复杂的人工智能驱动的网络钓鱼即服务平台”,能够针对全球超过 36 家西班牙银行、政府机构和 30 家机构的用户。
网络钓鱼套件的价格在每月 150 美元到 900 美元之间,而包括网络钓鱼套件和 Android 恶意软件在内的捆绑包以订阅方式提供,每月约 500 美元。
该活动的目标包括西班牙金融机构的用户,以及美国、英国、斯洛伐克和巴西的税务和政府服务、电子商务、银行和加密货币交易所。迄今为止,已识别出多达 288 个与该活动相关的网络钓鱼域。
所提供服务范围的一部分还包括出售被盗的银行凭证和为其他针对银行、金融和加密货币业务的网络犯罪集团定制编码雇佣计划。
“与典型的网络钓鱼开发人员不同,GXC团队将网络钓鱼工具包与SMS OTP窃取恶意软件相结合,将典型的网络钓鱼攻击场景转向一个稍微新的方向,”安全研究人员Anton Ushakov和Martijn van den Berk在周四的一份报告中说。
这里值得注意的是,威胁行为者不是直接使用虚假页面来获取凭据,而是敦促受害者下载基于 Android 的银行应用程序以防止网络钓鱼攻击。这些页面是通过短信钓鱼和其他方法分发的。
安装后,该应用程序会请求将权限配置为默认 SMS 应用程序,从而可以拦截一次性密码 (OTP) 和其他消息,并将它们泄露到他们控制下的 Telegram 机器人。
研究人员说:“在最后阶段,该应用程序在WebView中打开一个真正的银行网站,允许用户正常与其交互。“之后,每当攻击者触发 OTP 提示时,Android 恶意软件就会默默地接收并将带有 OTP 代码的短信转发到威胁行为者控制的 Telegram 聊天中。”
威胁行为者在专用 Telegram 频道上宣传的其他服务包括注入 AI 的语音通话工具,这些工具允许其客户根据直接从网络钓鱼工具包发出的一系列提示向潜在目标生成语音通话。
这些电话通常伪装成来自银行,指示他们提供双因素身份验证 (2FA) 代码、安装恶意应用程序或执行其他任意操作。
研究人员指出:“采用这种简单而有效的机制可以增强诈骗场景对受害者的说服力,并展示犯罪分子在他们的计划中采用和实施人工智能工具是多么迅速和容易,将传统的欺诈场景转变为新的、更复杂的策略。
在最近的一份报告中,谷歌旗下的Mandiant揭示了人工智能驱动的语音克隆如何能够以“不可思议的精度”模仿人类语言,从而允许更真实的网络钓鱼(或电话钓鱼)方案,从而促进初始访问、权限提升和横向移动。
“威胁行为者可以冒充高管、同事甚至 IT 支持人员,诱骗受害者泄露机密信息、授予对系统的远程访问权限或转移资金,”威胁情报公司表示。
“与熟悉的声音相关的固有信任可以被用来操纵受害者采取他们通常不会采取的行动,例如点击恶意链接、下载恶意软件或泄露敏感数据。”
