行業新聞與部落格

新木馬詐騙活動中使用 Skype、Google Meet 和 Zoom

據云安全提供商 Zscaler 稱,威脅行為者一直在使用線上會議誘餌在 Android 和 Windows 作業系統上分發遠端訪問木馬 (RAT)。

Zscaler 的威脅情報團隊 ThreatLabz 觀察到,該活動至少自 2023 年 12 月以來一直在持續。

分散式 RAT 包括專注於 Android 的 SpyNote RAT 和專注於 Windows 的 NjRAT 和 DCRat。

導致 RAT 負載的惡意 APK 和 BAT 檔案

為了引誘受害者下載 RAT,威脅行為者建立了多個虛假線上會議網站,冒充 Microsoft 旗下的 Skype、Google Meet 和 Zoom 等品牌。

“所有假冒網站都是俄語的,” Zscaler ThreatLabz 研究人員指出。

攻擊者利用共享網路託管服務在單個 IP 地址上託管所有這些網站。第一個是於 2023 年 12 月上旬建立的,其 URL 類似於合法的 Skype URL。

當用戶訪問其中一個虛假網站時,單擊 Android 按鈕會啟動惡意 APK 檔案的下載,而單擊 Windows 按鈕會觸發 BAT 檔案的下載,這是 Windows 中自動執行任務的指令碼。執行時,此 BAT 檔案會執行其他操作,最終導致 RAT 有效負載的下載。    

在某些情況下,Apple App Store 按鈕也可用。但是,此按鈕會重定向到 https://go.skype.com/skype.download.for.phone.iphone,這表明威脅行為者並未針對 iOS 使用者傳送惡意軟體。

威脅行為者託管的三種 RAT(SpyNote RAT、NjRAT 和 DCRat)可以竊取機密資訊和檔案並記錄擊鍵。

Android 和 Windows 活動的攻擊鏈和執行流程。 來源:Zscaler
Android 和 Windows 活動的攻擊鏈和執行流程。來源:Zscaler

需要幫助嗎?聯絡我們的支援團隊 線上客服