假冒数据泄露通知部署恶意软件，窃取凭证

执行摘要

根据ESET的WeLiveSecurity的研究，威胁行为者正在通过冒充合法的数据泄露通知服务进行复杂的网络钓鱼活动。这些假冒的警报模仿来自Have I Been Pwned等服务的通信，旨在引发恐慌并诱使收件人点击恶意链接，导致凭证被盗或恶意软件部署。这些活动利用围绕数据泄露的日益焦虑来绕过用户的怀疑。

技术分析

攻击链始于一封设计得看起来像合法泄露通知的电子邮件。ESET研究人员观察到的主题行类似于“您的数据已泄露”或类似的紧急警告的消息。这些电子邮件通常包含个性化细节，如收件人的电子邮件地址或用户名，可能来自以前的数据转储，以增加可信度。这些消息指示收件人点击链接查看所谓的泄露的详细信息。

链接的域名通常是新注册的，并使用旨在模仿真实安全服务的名称（例如，“haveibeenpwned”或“breachalarm”的变体）。点击后，受害者被重定向到一个紧密复制流行服务登录界面的网络钓鱼页面，如Microsoft 365、Google或密码管理器。该页面收集任何输入的凭证。在其他观察到的案例中，链接启动了一个恶意文件的下载，通常是伪装成包含泄露详情的文档的脚本或可执行文件。ESET指出，有效载荷各不相同，但远程访问木马（RATs）和信息窃取器是常见的目标。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

这些活动采用几种关键技术：

• 初始访问 (T1566): 网络钓鱼。 主要载体是伪装成关键安全警报的鱼叉式网络钓鱼电子邮件。
• 执行 (T1204.002): 用户执行。 恶意执行依赖于用户点击链接，并在某些情况下打开下载的文件。
• 凭证访问 (T1589.001): 来自密码存储的凭证。 网络钓鱼站点被制作成用于收集云电子邮件、协作和身份管理服务的凭证。
• 防御绕过 (T1588.002): 伪装。 攻击者注册名称类似于合法安全服务的域名，并创建他们网站的令人信服的视觉副本。
• 资源开发 (T1583.001): 域名。 行为者特别获取这些短期网络钓鱼活动的域名。

威胁行为者背景

ESET的报告没有将这些活动归因于特定的命名威胁行为者或团体。这些战术与以财务为动机的网络犯罪活动一致，可能包括出售受损凭证和系统访问权限的初始访问经纪人。使用个性化数据表明行为者正在利用现有的泄露语料库，这是网络犯罪地下常见的做法。没有迹象表明在描述的活动中有国家赞助的活动。

缓解措施与建议

组织和个人应该对未经请求的泄露警报采取怀疑的、验证优先的方法。

• 独立验证： 不要点击未经请求的泄露通知中的链接。相反，直接导航到提到的服务的官方网站（例如，Have I Been Pwned）并在其中检查您的电子邮件地址。
• 仔细检查URL： 在点击之前将鼠标悬停在链接上以预览目标URL。对拼写错误、额外的连字符或不寻常的顶级域名保持警惕。
• 启用多因素认证（MFA）： 在所有关键账户上启用MFA，即使凭证被盗，也提供了至关重要的保护层。
• 用户培训： 进行安全意识培训，特别强调这种新兴战术，强调合法的安全服务永远不会通过电子邮件链接要求密码。
• 技术控制： 部署能够检测伪造的发件人地址和新注册的恶意域名的电子邮件过滤解决方案。使用端点检测和响应（EDR）工具来阻止可疑下载文件的执行。