專門蒐集網域情報的美國資安業者DomainTools最近揭露了駭客組織Silver Fox的惡意行為,指出位於中國時區的Silver Fox自2023年6月以來,便建立了超過2,800個用來散布Windows惡意程式的網域名稱,且直至今年6月,仍有266個網域積極參與惡意行動。
Silver Fox在註冊眾多的網站之後,將它們偽裝成程式下載頁面、更新提示、登入頁面、行銷及商業工具平臺,或是加密貨幣應用等,以誘導使用者下載惡意程式或輸入敏感資訊。包括Gmail、支付寶(Alipay)與Coinbase都是駭客假冒的對象。
駭客所使用的惡意程式家族涵蓋了遠端存取木馬Gh0stRAT、用來控制被駭裝置的ValleyRAT、商業化的遠端監控程式Remcos RAT、資訊竊取工具LummaStealer,以及可大量蒐集電腦上所儲存之帳號/密碼的RedLine Stealer等。
根據DomainTools的追蹤與分析,Silver Fox註冊網址及活動時間都集中在中國北京時區的工作時段,且所偽造的頁面都是中文,攻擊對象包括中國境內與境外的中文使用者,可能為高度目標導向攻擊。
資料來源:iThome