Netskope 發(fā)現(xiàn)在過(guò)去的六個(gè)月中，部署在 DigitalOcean 上的惡意網(wǎng)頁(yè)流量增長(zhǎng)了 17 倍。研究人員發(fā)現(xiàn)攻擊者模仿 Windows Defender 欺騙用戶(hù)，使用戶(hù)以為其計(jì)算機(jī)已經(jīng)被攻陷且需要技術(shù)支持，誘騙受害者撥打虛假的“求助熱線”。隨后，攻擊者遠(yuǎn)程訪問(wèn)受害者的計(jì)算機(jī)并且安裝惡意軟件，或者要求用戶(hù)支付清除感染的服務(wù)費(fèi)。

除了上述詐騙行為之外，部署在 DigitalOcean 上針對(duì)各種金融機(jī)構(gòu)的釣魚(yú)網(wǎng)站也在增加。攻擊主要針對(duì)北美與歐洲，以科技行業(yè)、金融服務(wù)行業(yè)和制造業(yè)居多。

針對(duì)目標(biāo)行業(yè)分布

技術(shù)支持詐騙

攻擊者模仿 Windows Defender 的告警，誘騙用戶(hù)相信其計(jì)算機(jī)已經(jīng)感染了惡意軟件。強(qiáng)調(diào)受害者要撥打騙子的電話(huà)，隨后遠(yuǎn)程訪問(wèn)受害者的計(jì)算機(jī)來(lái)安裝惡意軟件或者裝模作樣修復(fù)感染要求付費(fèi)。研究人員認(rèn)為，攻擊者通常是用惡意廣告將受害者重定向到這些詐騙頁(yè)面的。

技術(shù)支持詐騙頁(yè)面

一旦受害者打開(kāi)網(wǎng)頁(yè)，瀏覽器的窗口就會(huì)自動(dòng)最大化并播放以下消息的音頻：

• 重要安全警告!
• 您的計(jì)算機(jī)已經(jīng)被鎖定!
• 您的 IP 地址在您不知情或未許可的情況下被用于訪問(wèn)帶有惡意軟件的網(wǎng)站。
• 想要解鎖計(jì)算機(jī)，請(qǐng)立即致電技術(shù)支持人員。
• 不要關(guān)閉或者重新啟動(dòng)計(jì)算機(jī)，這樣做可能會(huì)導(dǎo)致數(shù)據(jù)丟失或者憑據(jù)盜用。
• 鎖定計(jì)算機(jī)就是為了阻止非法行為，請(qǐng)立即致電技術(shù)支持人員!?

攻擊者會(huì)通過(guò)各種恐嚇、誘導(dǎo)的手段來(lái)逼迫受害者撥打詐騙電話(huà)，例如顯示虛假 Windows 桌面與聊天工具，其中提示用戶(hù)計(jì)算機(jī)存在問(wèn)題，要求用戶(hù)致電技術(shù)支持人員。

另一個(gè)詐騙頁(yè)面

攻擊者還針對(duì)不同國(guó)家部署了不同語(yǔ)言的詐騙頁(yè)面，這是一個(gè)多語(yǔ)言的攻擊行動(dòng)。

日語(yǔ)詐騙頁(yè)面

為什么是 DigitalOcean？

DigitalOcean 允許用戶(hù)免費(fèi)部署最多三個(gè)靜態(tài)網(wǎng)站。但由于詐騙頁(yè)面上的電話(huà)號(hào)碼需要?jiǎng)討B(tài)更新，攻擊者通過(guò) URL 中的 phone 參數(shù)來(lái)實(shí)現(xiàn)更改。攻擊者就可以通過(guò)相同的 DigitalOcean 實(shí)例來(lái)使用不同的電話(huà)號(hào)碼，而無(wú)需更改 HTML 或者腳本文件。

詐騙頁(yè)面的邏輯架構(gòu)

通過(guò) VirusTotal 的數(shù)據(jù)，研究人員發(fā)現(xiàn)其中一個(gè)頁(yè)面與 DigitalOcean 上 87 個(gè)不同域名的 URL 存在關(guān)聯(lián)。

各種關(guān)聯(lián)的 URL

釣魚(yú)網(wǎng)站

美國(guó)第一信用合作社

攻擊者創(chuàng)建了與美國(guó)第一信用合作社（America First Credit Union）非常相似的釣魚(yú)網(wǎng)站，幾乎只是在 URL 上存在差異：

釣魚(yú)網(wǎng)站與原始網(wǎng)站

一旦受害者提交了登錄信息，受害者就會(huì)要求提供更多的個(gè)人信息，例如出生日期、社會(huì)安全號(hào)碼、住址等。

要求提供更多信息的釣魚(yú)網(wǎng)站

用戶(hù)輸入數(shù)據(jù)后，釣魚(yú)網(wǎng)站會(huì)要求提供借記卡卡號(hào)、到期日期、CVV 碼與借記卡密碼。

要求提供借記卡信息的釣魚(yú)網(wǎng)站

釣魚(yú)網(wǎng)站模擬第三方登錄，還要竊取受害者的電子郵件地址與密碼。借此途徑，攻擊者還具備了應(yīng)對(duì)雙因子認(rèn)證的能力。根據(jù)受害者使用的郵箱不同，會(huì)使用不同的登錄頁(yè)面。

模擬谷歌登錄

模擬微軟登錄

如果是攻擊者預(yù)期外的郵箱服務(wù)，釣魚(yú)頁(yè)面使用與 Gmail 相同的布局，但不使用 Google 的徽標(biāo)。

模擬未知電子郵件登錄

最后，攻擊者將受害者重定向到合法網(wǎng)站去。

原始網(wǎng)站

亨廷頓國(guó)家銀行

與前述的情況基本類(lèi)似，釣魚(yú)網(wǎng)站如下所示：

模仿亨廷頓國(guó)家銀行的釣魚(yú)網(wǎng)站

竊取用戶(hù)名與密碼后，要求受害者發(fā)送一次性密碼來(lái)繞過(guò)雙因子認(rèn)證。

要求發(fā)送一次性密碼的釣魚(yú)網(wǎng)站

要求提供郵箱登錄信息的釣魚(yú)網(wǎng)站

要求提供借記卡信息的釣魚(yú)網(wǎng)站

要求提供個(gè)人信息的釣魚(yú)網(wǎng)站

要求提供身份證或駕照信息的釣魚(yú)網(wǎng)站

在完成各種信息的竊取后，將用戶(hù)重定向到合法的原始網(wǎng)站。

原始網(wǎng)站

Truist Financial 銀行

釣魚(yú)網(wǎng)站

IONOS 郵箱

IONOS 網(wǎng)絡(luò)郵箱服務(wù)是攻擊者唯一不針對(duì)金融機(jī)構(gòu)發(fā)起的攻擊，只是獲取電子郵件憑據(jù)。

釣魚(yú)網(wǎng)站

結(jié)論

詐騙與網(wǎng)絡(luò)釣魚(yú)一直經(jīng)久不衰，攻擊者會(huì)不斷找尋各種新的方法來(lái)攻擊受害者。盡管 DigitalOcean 接到安全人員的報(bào)告后迅速處理了這些網(wǎng)站，但攻擊者仍然在不斷創(chuàng)建新的網(wǎng)站進(jìn)行攻擊。