日前,SlashNext 安全公司的研究人员发现了一个名为“FishXProxy”的全新端到端网络钓鱼工具包套件开始在暗网上公开销售。该套件包括了多种高级钓鱼功能,并能够与Cloudflare内容交付网络( CDN )进行集成,从而具有更加强大的逃避检测能力。
在暗网论坛的销售广告中,将其吹捧为一款“终极强大(Ultimate Powerful)”的网络钓鱼工具包,能够大大降低网络犯罪分子发起恶意电子邮件攻击的门槛,同时规避典型的安全保护措施。研究人员认为,FishXProxy 钓鱼套件的出现将对企业现有的安全防御模式构成挑战。
据介绍,相比传统网络钓鱼工具,FishXProxy的危害性主要体现在:
攻击者可以利用FishXProxy钓鱼工具包设计包含独特生成链接或动态附件的诱饵电子邮件,从而使邮件能够通过自动电子邮件扫描系统绕过初始审查;
该套件中添加了一个重定向系统功能,能够模糊真实的网站目标,以及页面到期设置,使安全研究人员难以对攻击活动进行溯源调查。因为页面到期会让攻击者缩短被检测和分析的机会窗口,同时增强了受害者的紧迫感,从而增加了窃取凭证的成功率;
FishXProxy 可以通过跨项目跟踪为网络犯罪分子提供了内置的攻击持久性,设计高度个性化和更具迷惑性的钓鱼剧本,从而提高攻击的有效性。即便某一次攻击失败,攻击者也能够在多个攻击行动中反复瞄准受害目标。
该工具包含一个复杂的功能——HTML 走私 ,允许攻击者绕过电子邮件过滤器,直接向受害者的设备发送恶意负载,这样就为凭证盗窃的进一步利用带来可能性。
该工具包实现了与Cloudflare CDN的集成,为服务化的网络钓鱼活动提供了企业级基础架构,使得安全检测和清楚工作变得更加困难。
Critical Start网络威胁研究高级经理Callie Guenther指出:" FishXProxy 网络钓鱼工具包的出现标志着邮件安全威胁领域的一个重大发展,通过将很多复杂的网络钓鱼技术‘民主化’,将有更多技术能力有限的攻击者可以发起高难度的网络钓鱼活动。对于企业组织而言,只有通过更先进的、多层次的安全解决方案才能进行应对。”
为了应对FishXProxy ,研究人员建议企业尽快将威胁情报能力整合到现有的安全防御策略中,并在企业电子邮件客户端上添加一个专门的威胁报告按钮。该按钮可以直接与安全运营中心相连,这种措施可以让企业迅速利用一个威胁报告,快速阻止更大规模的网络钓鱼活动蔓延。
参考链接:
https://www.darkreading.com/endpoint-security/fishxproxy-phishing-kit-cybercriminals-success