[0]Gabagool 利用 Cloudflare R2 的复杂网络钓鱼工具包-小百科

小百科,大世界
TRAC Labs 在一份详细的分析报告中揭露了一个名为 Gabagool 的网络钓鱼活动，其目标是企业和政府员工。该活动利用 Cloudflare R2 存储服务的信誉绕过安全措施。 Gabagool 通过入侵员工的电子邮件帐户开始其感染链。被入侵的账户会向其他员工发送钓鱼邮件，在图片或文档中嵌入恶意链接。例如，图片可能标注为 “已收到新传真文档”，其中嵌入的 URL 会引导受害者访问 SharePoint 或 Box 等看似合法的文件共享平台。 “这些电子邮件会提示收件人查看电子邮件中伪装成文档的附件图片。图片中嵌入了一个恶意 URL 短链，利用 tiny.cc 和 tiny.pl，其中包含一个重定向链”。重定向 URL \| 图片： TRAC 实验室然而，这些重定向会指向托管在 Cloudflare R2 桶中的钓鱼网页。报告指出：“威胁行为者可以通过在这些桶中托管恶意内容或钓鱼登陆页面，利用 Cloudflare 的可信声誉绕过安全过滤器，从而滥用 Cloudflare R2 桶进行钓鱼。” Gabagool 网络钓鱼工具包采用混淆的 JavaScript 和复杂的僵尸检测机制来规避安全措施。主要功能包括僵尸检测：钓鱼页面使用检测无头浏览器（如 Selenium）、监控鼠标移动和测试禁用 cookies 等检查手段。如果怀疑有僵尸活动，就会将用户重定向到合法网站。凭证收集：一旦用户通过了僵尸检查，网络钓鱼页面就会加载凭证收集表单。收集到的凭据在发送到攻击者控制的服务器之前会使用 AES 加密。 Gabagool 活动已经影响了许多组织，尤其是金融和政府等行业。它使用先进的规避技术和可信平台，使其成为一个危险的威胁。本文翻译自securityonline 原文链接。如若转载请注明出处。商务合作，文章发布请联系 anquanke@360.cn 本文由安全客原创发布转载，请参考转载声明，注明出处： /post/id/302024 安全客 - 有思想的安全新媒体 [来源: 安全客]
首页 / 计算机 / IT资讯

TRAC Labs 在一份详细的分析报告中揭露了一个名为 Gabagool 的网络钓鱼活动，其目标是企业和政府员工。该活动利用 Cloudflare R2 存储服务的信誉绕过安全措施。

Gabagool 通过入侵员工的电子邮件帐户开始其感染链。被入侵的账户会向其他员工发送钓鱼邮件，在图片或文档中嵌入恶意链接。例如，图片可能标注为 “已收到新传真文档”，其中嵌入的 URL 会引导受害者访问 SharePoint 或 Box 等看似合法的文件共享平台。

“这些电子邮件会提示收件人查看电子邮件中伪装成文档的附件图片。图片中嵌入了一个恶意 URL 短链，利用 tiny.cc 和 tiny.pl，其中包含一个重定向链”。

重定向 URL | 图片： TRAC 实验室

然而，这些重定向会指向托管在 Cloudflare R2 桶中的钓鱼网页。报告指出：“威胁行为者可以通过在这些桶中托管恶意内容或钓鱼登陆页面，利用 Cloudflare 的可信声誉绕过安全过滤器，从而滥用 Cloudflare R2 桶进行钓鱼。”

Gabagool 网络钓鱼工具包采用混淆的 JavaScript 和复杂的僵尸检测机制来规避安全措施。主要功能包括

僵尸检测： 钓鱼页面使用检测无头浏览器（如 Selenium）、监控鼠标移动和测试禁用 cookies 等检查手段。如果怀疑有僵尸活动，就会将用户重定向到合法网站。
凭证收集： 一旦用户通过了僵尸检查，网络钓鱼页面就会加载凭证收集表单。收集到的凭据在发送到攻击者控制的服务器之前会使用 AES 加密。

Gabagool 活动已经影响了许多组织，尤其是金融和政府等行业。它使用先进的规避技术和可信平台，使其成为一个危险的威胁。

本文翻译自securityonline 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载，请参考转载声明，注明出处： /post/id/302024

安全客 - 有思想的安全新媒体

[来源: 安全客]

[0]Gabagool 利用 Cloudflare R2 的复杂网络钓鱼工具包 繁體

[0]Gabagool 利用 Cloudflare R2 的复杂网络钓鱼工具包 ^繁體