针对德国和波兰的网络钓鱼攻击

主要重点

• 在2024年7月以来，一个以财务为动机的网络钓鱼攻击活动已经针对波兰和德国的用户。
• 攻击者使用PureCrypter来传递各种恶意软件，包括Agent Tesla、Snake Keylogger和一个新识别的后门TorNet。
• 攻击者通过伪装成金融交易或订单确认的钓鱼电子邮件来进行攻击，常常冒充银行和物流公司。
• 严重的安全隐患包括攻击者可以将感染的设备连接到他们的命令和控制伺服器以及TOR网络中。

根据 的报导，这一骗局使用了PureCrypter来发送各种恶意软件，目标主要集中在波兰和德国。攻击者所用的恶意软件包括Agent Tesla、SnakeKeylogger及新发现的后门TorNet。

根据CiscoTalos的报告，这些攻击者利用伪装成金融交易或订单确认的钓鱼电子邮件进行攻击，常常假冒银行或物流公司，这使得受害者更容易上当。这些电子邮件通常会附带一个.tgz扩展名的附件，当用户打开这些附件时，会触发一个.NET加载器，下载并在内存中执行PureCrypter的恶意软件。随后，PureCrypter会在执行多次反侦测检查后启动TorNet后门。

"攻击者在受害者的电脑上运行Windows排程任务——包括在低电量的终端设备上——以实现持久性。攻击者在投放有效负载之前会将受害者的计算机从网络中断开，然后再重新连接回网络，这样可以避开云端防病毒解决方案的检测。" 根据分析结果，这表明该攻击活动已经变得愈加复杂，且对受害者的设备造成了更大的风险。

这一系列的攻击行为提醒我们，加强网络安全意识，尤其是在查看电子邮件时，应格外小心，以防成为网络钓鱼攻击的受害者。