自2024年10月以来,一个名为CoGUI的复杂网络钓鱼框架已成为一个重大威胁,主要针对日本的组织提供数百万条网络钓鱼消息。
该套件冒充流行的消费者和金融品牌,包括亚马逊,PayPay,乐天和各种金融机构,以欺骗用户泄露敏感信息。
活动量从数十万到数千万条,根据竞选量,日本已成为最具针对性的国家之一。
网络钓鱼攻击使用精心制作的电子邮件,模仿可信品牌的合法通信。
这些消息通常会产生紧迫感,促使收件人单击导致伪造身份验证页面的嵌入式URL。
一旦定向到这些页面,受害者将被要求输入他们的凭据和付款信息,然后由攻击者收集。
最近几个月,威胁行为者甚至利用了时事,一些运动在美国政府宣布互惠关税后使用以关税为主题的诱惑。
identifiedProofpoint研究人员在2024年12月发现了CoGUI网络钓鱼试剂盒,此后一直在跟踪其演变和部署。
研究人员指出,总消息量在2025年1月达到顶峰,仅当月就观察到超过1.72亿条消息。
根据Proofpoint的分析,虽然日本组织仍然是主要目标,但也观察到一些针对澳大利亚,新西兰,加拿大和美国用户的活动。
evasion techniquesCoGUI特别危险的是其复杂的规避技术以及窃取数据的全面性。
除了用户名和密码之外,网络钓鱼套件还旨在捕获支付卡详细信息,为受害者带来重大财务风险。
这一活动与日本金融厅最近关于网络钓鱼活动增加导致金融盗窃的报道一致。
先进的逃生技术
defenseCoGUI套件采用多层防御规避,使其特别难以检测。
其规避策略的核心是复杂的浏览器分析,可以收集信息,包括IP地址的地理位置,浏览器语言配置,浏览器类型和版本,屏幕尺寸,操作系统平台和设备类型。
这种分析有两个目的:针对特定受害者和逃避自动分析系统。
当潜在受害者访问CoGUI钓鱼页面时,该工具包首先评估浏览器是否符合其目标标准。
如果配置文件验证得到满足,它提供旨在窃取凭据的钓鱼页面。但是,如果验证失败,受害者将被重定向到与冒充品牌相匹配的合法网站,从而有效地掩盖了攻击尝试。
例如,如果phish欺骗“Amazon.co.jp”并且验证失败,访问者将无缝地重定向到合法的日本亚马逊网站,不会留下任何企图攻击的痕迹。
这种针对受害者目标和逃沙的复杂方法,加上地理围栏和头部击剑技术,证明了为什么CoGUI在其活动中如此成功,以及为什么Proofpoint评估它可能被多个主要针对日语威胁行为者使用。
发表评论
您还未登录,请先登录。
登录