人工智能工具助长巴西网络钓鱼诈骗,Efimer 木马窃取 5,000 名受害者的加密货币
Zscaler 报告称,黑客利用 DeepSite AI、BlackBox AI 等生成式 AI 工具仿冒巴西政府网站,通过 SEO 中毒提升排名,诱导用户提供 CPF 等敏感信息并通过 PIX 支付。钓鱼页面分阶段收集数据,并调用自建 API 验证信息。与此同时,卡巴斯基发现“Efimer”木马通过伪装律师邮件、受感染的 WordPress 网站、恶意种子等传播,窃取加密货币钱包信息并替换剪贴板地址,感染超 5,000 名用户,主要集中在巴西等国。
网络安全研究人员正在关注一项新的活动,该活动使用合法的生成人工智能 (AI) 驱动的网站构建工具(如 DeepSite AI 和 BlackBox AI)来创建模仿巴西政府机构的复制网络钓鱼页面,作为出于经济动机的活动的一部分。
Zscaler ThreatLabz 表示,该活动涉及创建模仿巴西国家交通部和教育部的类似网站,然后诱骗毫无戒心的用户通过该国的 PIX 支付系统进行不必要的支付。
这些欺诈网站使用搜索引擎优化 (SEO) 中毒技术进行人为提升,以提高其知名度,从而增加攻击成功的可能性。
Zscaler 的 Jagadeeswar Ramanukolanu、Kartik Dixit 和 Yesenia Barajas 表示:“源代码分析揭示了生成式 AI 工具的签名,例如旨在指导开发人员的过度解释性注释、通常在真实网站上运行的非功能性元素,以及 TailwindCSS 样式等趋势,这与威胁行为者使用的传统网络钓鱼工具包不同。 ”
攻击的最终目标是提供虚假表格,收集敏感个人信息,包括国民储蓄账户 (CPF) 号码、巴西纳税人识别号、住宅地址,并说服他们以完成心理测量和医疗检查或获得工作机会为幌子,通过 PIX 向威胁行为者一次性支付 87.40 雷亚尔(16 美元)。
网络安全
为了进一步增强攻击活动的合法性,钓鱼页面采用分阶段数据收集的方式,逐步向受害者请求更多信息,模拟真实网站的行为。收集到的 CPF 号码还会通过攻击者创建的 API 在后端进行验证。
Zscaler 表示:“分析过程中识别出的 API 域名是由威胁行为者注册的。该 API 会检索与 CPF 编号相关的数据,并自动将与 CPF 相关的信息填充到钓鱼页面中。”
尽管如此,该公司指出,攻击者可能通过数据泄露或利用带有身份验证密钥的公开 API 获取 CPF 号码和用户详细信息,然后利用这些信息来增加其网络钓鱼尝试的可信度。
Zscaler 指出:“虽然这些网络钓鱼活动目前从受害者那里窃取的资金相对较少,但类似的攻击可能会造成更大的损失。”
群发邮件活动传播 Efimer 木马病毒窃取加密货币#
巴西也成为一场恶意垃圾邮件攻击活动的焦点,该活动冒充一家大型公司的律师,发送名为“Efimer”的恶意脚本,窃取受害者的加密货币。俄罗斯网络安全公司卡巴斯基表示,它在2025年6月检测到了这起群发邮件活动,该恶意软件的早期迭代可以追溯到2024年10月,并通过受感染的WordPress网站传播。
研究人员 Vladimir Gursky 和 Artem Ushkov表示: “这些电子邮件错误地声称收件人的域名侵犯了发件人的权利。该脚本还包含其他功能,可以帮助攻击者通过入侵 WordPress 网站并在其中托管恶意文件等技术进一步传播该脚本。”
Efimer 除了通过受感染的 WordPress 网站和电子邮件进行传播外,还利用恶意种子作为传播媒介,并通过 TOR 网络与其命令与控制 (C2) 服务器进行通信。此外,该恶意软件还可以通过附加脚本扩展其功能,例如暴力破解 WordPress 网站的密码,并从指定网站收集电子邮件地址,用于将来的电子邮件攻击活动。
卡巴斯基表示:“该脚本从 C2 服务器接收域名,并遍历每个域名以查找网站页面上的超链接和电子邮件地址。”他指出,该脚本还可用作垃圾邮件模块,用于填写目标网站上的联系表格。
在卡巴斯基记录的攻击链中,这些电子邮件附带了多个 ZIP 压缩包,其中包含另一个受密码保护的压缩包和一个空文件,该文件的名称指定了打开密码。第二个 ZIP 文件中包含一个恶意的 Windows 脚本文件 (WSF),该文件启动后会感染 Efimer 病毒。
同时,受害者会收到一条错误消息,提示无法在设备上打开该文档,以此来分散注意力。实际上,WSF 脚本会保存另外两个文件“controller.js”(木马组件)和“controller.xml”,并使用从“controller.xml”中提取的配置在主机上创建计划任务。
身份安全风险评估
“controller.js”是一款剪切恶意软件,旨在将用户复制到剪贴板的加密货币钱包地址替换为攻击者控制的钱包地址。在受感染的计算机上安装 TOR 代理客户端后,它还可以捕获屏幕截图并通过 TOR 网络连接,执行从 C2 服务器接收的其他有效载荷。
卡巴斯基表示,它还发现了 Efimer 的第二个版本,除了剪辑功能外,还包含反虚拟机功能,并扫描 Google Chrome 和 Brave 等网络浏览器中与 Atomic、Electrum 和 Exodus 等相关的加密货币钱包扩展,并将搜索结果泄露回 C2 服务器。
根据遥测数据,该活动估计影响了 5,015 名用户,其中大部分感染集中在巴西、印度、西班牙、俄罗斯、意大利、德国、英国、加拿大、法国和葡萄牙。
研究人员表示:“虽然其主要目标是窃取和交换加密货币钱包,但它也可以利用其他脚本来入侵 WordPress 网站并传播垃圾邮件。这使得它能够建立完整的恶意基础设施并传播到新设备。”
该木马的另一个有趣特征是它试图在个人用户和企业环境中传播。在第一种情况下,攻击者使用种子文件作为诱饵,声称是为了下载热门电影;在另一种情况下,他们发送声称未经授权使用其他公司注册的单词或短语的指控。
关于作者
评论0次