德国联邦安全与IT办公室(BSI,职能相当于美国的国家安全与信息技术局)近日发布公告警告:网络攻击者冒充其发布了“关于Meltdown与Spectre攻击信息”的垃圾邮件,该邮件中包含指向修复补丁的页面链接,实际上指向一个伪造的BSI网站,点击该链接的用户的设备(PC或智能手机)将被恶意软件感染。
德国联邦安全与IT办公室(BSI)警告用户切勿点击其它类似电子邮件中的链接或者任何附件文件,应直接将其删除。若已经打开伪造网站的用户,则千万不可下载其中提供的所谓安全更新。
这些看似来自官方的仿冒电子邮件会向用户提供一条指向某ZIP归档的链接,该归档中包含伪造Windows补丁,其真正身份为恶意软件,能够检索其它有效载荷。
攻击者利用SSL证书加密机制让用户放松警惕
正如目前的众多其它钓鱼网站一样,伪造BSI页面同样启用了SSL加密机制,这意味着其能够通过在浏览器地址栏中显示安全挂锁符号的方式欺骗受害者。攻击者还在.bid通用顶级域名中注册了BSI的部分德文名称。
Malwarebytes公司研究人员指出,该钓鱼网站的链接指向的是Smoke Loader恶意软件的安装程序,其可进一步安装其它恶意软件。
该领先BIS网站中包含一条指向某ZIP归档的链接,其名称被误导性地设置为“Intel-AMD-SecurityPatch-11-01bsi.zip ”。一旦运行其中的可执行文件,受害者将在无法察觉的情况下安装Smoke Loader,该恶意软件随后会调用某些托管于俄罗斯的域名。
目前该钓鱼网站已经无法正式访问。研究人员提到仍有不少使用.bid域名的其它网站托管有用于伪造Flash Player更新的德文模板——这显然是欺骗众多受害者安装恶意软件的另一种常见伎俩。
钓鱼网站HTTPS采用率更高
Segura写道,“网络犯罪分子会利用高知名度事件快速行动,特别是通过网络钓鱼攻击侵扰受害者。”“这种作法值得关注,因为人们误认为是安全修复补丁的东西,实际上却是骗子精心设计的糖衣炮弹。”他同时补充称,HTTPS链接并不一定值得信赖。最近由安全厂商PhishLabs公司发布的一份报告显示,钓鱼网站采用HTTPS的比例实际上要比普通网站更高。
在2017年第三季度,四分之一的钓鱼网站已经开始使用HTTPS,这一比例远高于2016年的3%。钓鱼者们之所以积极利用HTTPS,是因为这种额外的安全性保障机制能够给人留下合法的固有印象。