尼日利亚骗子采取更复杂的攻击

那些尼日利亚王子袖手旁观。

还记得那419个骗局吗？ 这些电子邮件通常写得很差，声称来自富裕的个人，他们愿意慷慨地支付帮助将其财富转移到国外的费用。 实际上，当受害者移交他们的财务详细信息以帮助并获得丰厚的回报时，欺诈者洗劫了银行帐户，然后消失了。

Palo Alto Networks研究人员说，这些骗子似乎已经采用了以前由更复杂的网络犯罪和网络间谍组织使用的攻击技术和窃取数据的恶意软件。 该公司威胁情报小组第42部门的研究人员在周二发布的“ 419 Evolution”报告中概述了针对台湾和韩国企业的一系列攻击。

过去，社会工程骗局主要针对“富裕，毫无戒心的个人”。 有了新工具，这419位诈骗者似乎已将受害者群体转移到了企业中。

Unit 42情报总监Ryan Olson说：“这些参与者并没有表现出很高的技术敏锐度，但是对那些以前没有成为主要目标的企业构成了越来越大的威胁。”

初学者的复杂攻击

Palo Alto Networks追踪了过去三个月中被Unit 42研究人员称为“ Silver Spaniel”的攻击。 攻击始于恶意电子邮件附件，单击该附件后，受害者计算机上就安装了恶意软件。 一个示例是称为NetWire的远程管理工具（RAT），它使攻击者可以远程接管Windows，Mac OS X和Linux计算机。 另一个工具DataScrambler用于重新包装NetWire，以逃避防病毒程序的检测。 报告称，DarkComet RAT也已用于这些攻击。

报告称，这些工具价格便宜，可以在地下论坛上轻易获得，并且“可以由任何拥有笔记本电脑和电子邮件地址的人部署”。

报告发现，这419位诈骗者是社会工程学的专家，但在处理恶意软件时是新手，“显示出非常差的操作安全性”。 即使命令和控制基础结构被设计为使用动态DNS域（来自NoIP.com）和VPN服务（来自NVPN.net），但某些攻击者还是将DNS域配置为指向自己的IP地址。 报告说，研究人员能够追踪到尼日利亚移动和卫星互联网提供商的连接。

骗子有很多东西要学习

目前，攻击者尚未利用任何软件漏洞，而是仍在依靠社会工程学（他们非常擅长）诱骗受害者安装恶意软件。 他们似乎在窃取密码和其他数据，以发起后续的社会工程攻击。

研究人员写道：“到目前为止，我们还没有观察到安装的任何次级有效载荷或系统之间的任何横向运动，但不能排除这种活动。”

研究人员发现一名尼日利亚人在Facebook上反复提及该恶意软件，例如询问有关NetWire的特定功能或寻求与Zeus和SpyEye合作的支持。 尽管研究人员尚未将此特定演员与Silver Spaniel攻击联系起来，但他是“开始从事419诈骗犯罪活动并正在发展利用地下论坛中发现的恶意软件工具的人的一个例子”，Palo Alto Networks说。

该报告建议阻止电子邮件上的所有可执行附件，并检查.zip和.rar存档中是否存在潜在的恶意文件。 帕洛阿尔托网络公司说，防火墙还应该阻止对经常滥用的动态DNS域的访问，而且即使文件名看起来合法或与工作有关，用户也必须接受培训以怀疑其附件。 该报告包括Snort和Suricata规则以检测Netwire流量。 研究人员还发布了一个免费工具，可对命令和控制流量进行解密和解码，并揭示Silver Spaniel攻击者窃取的数据。

报告说：“目前，我们不希望银西班牙猎狗的参与者开始开发新的工具或漏洞利用，但他们可能会采用能力更强的参与者制作的新工具。”