犯罪分子尚未直接利用英特爾“Meltdown”(熔斷)和“Spectre” (幽靈)兩大漏洞,一時(shí)間Meltdown與Spectre 漏洞成為熱點(diǎn)話題,引起PC用戶不小的慌亂,攻擊者乘虛而入利用用戶這種情緒大肆傳播惡意軟件并發(fā)動釣魚攻擊。加之越來越多的虛假釣魚網(wǎng)站采用SSL加密機(jī)制,用戶因此容易放松警惕,進(jìn)而中招。
攻擊者利用英特爾“熔斷”和“幽靈”熱點(diǎn)發(fā)起攻擊德國聯(lián)邦安全與IT辦公室(BSI,職能相當(dāng)于美國的國家安全與信息技術(shù)局)近日發(fā)布公告警告:網(wǎng)絡(luò)攻擊者冒充其發(fā)布了“關(guān)于Meltdown與Spectre攻擊信息”的垃圾郵件,該郵件中包含指向修復(fù)補(bǔ)丁的頁面鏈接,實(shí)際上指向一個偽造的BSI網(wǎng)站,點(diǎn)擊該鏈接的用戶的設(shè)備(PC或智能手機(jī))將被惡意軟件感染。
德國聯(lián)邦安全與IT辦公室(BSI)警告用戶切勿點(diǎn)擊其它類似電子郵件中的鏈接或者任何附件文件,應(yīng)直接將其刪除。若已經(jīng)打開偽造網(wǎng)站的用戶,則千萬不可下載其中提供的所謂安全更新。
這些看似來自官方的仿冒電子郵件會向用戶提供一條指向某ZIP歸檔的鏈接,該歸檔中包含偽造Windows補(bǔ)丁,其真正身份為惡意軟件,能夠檢索其它有效載荷。
攻擊者利用SSL加密機(jī)制讓用戶放松警惕正如目前的眾多其它釣魚網(wǎng)站一樣,偽造BSI頁面同樣啟用了SSL加密機(jī)制,這意味著其能夠通過在瀏覽器地址欄中顯示安全掛鎖符號的方式欺騙受害者。攻擊者還在.bid通用頂級域名中注冊了BSI的部分德文名稱。
Malwarebytes公司研究人員指出,該釣魚網(wǎng)站的鏈接指向的是Smoke Loader惡意軟件的安裝程序,其可進(jìn)一步安裝其它惡意軟件。
該領(lǐng)先BIS網(wǎng)站中包含一條指向某ZIP歸檔的鏈接,其名稱被誤導(dǎo)性地設(shè)置為“Intel-AMD-SecurityPatch-11-01bsi.zip ”。一旦運(yùn)行其中的可執(zhí)行文件,受害者將在無法察覺的情況下安裝Smoke Loader,該惡意軟件隨后會調(diào)用某些托管于俄羅斯的域名。
目前該釣魚網(wǎng)站已經(jīng)無法正式訪問。研究人員提到仍有不少使用.bid域名的其它網(wǎng)站托管有用于偽造Flash Player更新的德文模板——這顯然是欺騙眾多受害者安裝惡意軟件的另一種常見伎倆。
釣魚網(wǎng)站HTTPS采用率更高研究人員寫道,“網(wǎng)絡(luò)犯罪分子會利用高知名度事件快速行動,特別是通過網(wǎng)絡(luò)釣魚攻擊侵?jǐn)_受害者。這種作法值得關(guān)注,因?yàn)槿藗冋`認(rèn)為是安全修復(fù)補(bǔ)丁的東西,實(shí)際上卻是騙子精心設(shè)計(jì)的糖衣炮彈。”他同時(shí)補(bǔ)充稱,HTTPS鏈接并不一定值得信賴。最近由安全廠商PhishLabs公司發(fā)布的一份報(bào)告顯示,釣魚網(wǎng)站采用HTTPS的比例實(shí)際上要比普通網(wǎng)站更高。
在2017年第三季度,四分之一的釣魚網(wǎng)站已經(jīng)開始使用HTTPS,這一比例遠(yuǎn)高于2016年的3%。釣魚者們之所以積極利用HTTPS,是因?yàn)檫@種額外的安全性保障機(jī)制能夠給人留下合法的固有印象。