區塊鏈安全諮詢公司 曲速未來 訊息：前段時間，一場無恥的網路釣魚活動讓冰島感到驚訝，向成千上萬的人傳送了惡意電子郵件，企圖欺騙他們安裝強大的遠端訪問工具。

即使潛在受害者人數可能看起來很低，當地警方也表示這是襲擊該國的最大網路攻擊。人們必須考慮到冰島的人口約為35萬，其中大約一半的公民居住在首都雷克雅未克。相比之下，2016年倫敦的人口超過850萬。

​

攻擊者使用同形異義技巧

襲擊事件發生在10月6日星期六晚上，其中有訊息冒充冰島警察。這些電子郵件要求收件人進行詢問，並警告他們違規行為導致發出逮捕令。

​

一個連結導致了一個欺騙性的Lögreglan版本-冰島警察，似乎提供了更多有關此事的資訊。

​

為了使一切看起來都是真實的，該活動的作者使用同形異義技巧來註冊一個看起來像原始“logreglan.is”的域名。

​

​

“[...]攻擊者註冊了域名www.logregian.is - 使用小寫“i”（乍一看，可能看起來像小寫“L”或“l”），”研究人員在調查期間與警方合作時解釋。

​

他們補充說，訊息中的連結使用切換小寫“i”為大寫“i”或“I”，所以“i”實際上看起來像一個小的“L”-使它與“logreglan”無法區分幾乎所有網路使用者。

​

Remcos RAT再次用於惡意目的

​

高階威脅分析師在談到BleepingComputer時說，對於冰島而言，威脅是一個全新的威脅，指的是網路釣魚計劃的複雜性。

​

攻擊者使用的工具是Remcos，這是一種功能強大的工具，可作為訪問遠端計算機的合法解決方案，之前用於惡意目的。

​

研究人員告訴我們，攻擊中使用的版本是2.0.7 Pro，它提供對其執行的工作站的完全訪問許可權。

​

遠端訪問工具（RAT）的開發人員意識到他的Remcos有時被用於惡意目的，並告訴安全研究人員，因此實施了一種機制來防止濫用。

​

複雜的網路釣魚計劃

網路釣魚郵件中的連結將受害者帶到一個模仿冰島警方官方網站幾乎完美的網站，並要求使用者輸入他們的社會安全號碼（SSN）。

​

​

在冰島，可以通過銀行提供的服務對名稱和SSN進行公開諮詢，因此個人必須登入當地銀行的線上帳戶才能執行此程式。

​

如果使用者輸入了錯誤的SSN，則合法服務會顯示提示進行更正的警報。網路釣魚網站無法驗證數字的真實性，因此他們通常會接受使用者輸入的任何資訊。

​

但是，在此活動的情況下，攻擊者能夠以某種方式檢查數字的有效性，從而增加了欺騙性。一種理論是他們使用的是過去洩露的資料庫。

​

陷阱很難避免

攻擊者建立了一個複雜的網路釣魚方案，普通使用者很難檢測到。

​

虛假的冰島警方網站要求受害者輸入他們在網路釣魚郵件中收到的身份驗證碼，以獲取有關針對他們的警方案件的更多詳細資訊。

​

​

在下一步中，受害者在受密碼保護的檔案中接收所謂的檔案，並在網頁上提供金鑰，該金鑰實際上是用於竊取資訊並允許攻擊者遠端訪問受害計算機的打包RAT。

​

為冰島人量身定製的運動

“提取的.rar檔案是一個.scr檔案（Windows螢幕保護程式）偽裝成一個長文字的文件，因此副檔名是隱藏的。檔名是'BoðunískýrslutökuLRH30Óktóber.scr'，大致翻譯為“10月30日被警方打電話詢問，”研究人員指出。

對RAT的分析表明，設定接收被盜資料的命令和控制（C2）伺服器位於德國和荷蘭。

研究人員發現，攻擊者利用Remcos竊取銀行資訊，因為它檢查受害者是否可以訪問冰島最大的銀行。

此時攻擊者仍然不為人知，但警方認為該活動是熟悉冰島行政系統的人的工作。電子郵件和虛假網站上的文字支援這一理論。

針對該活動的防禦反應非常迅速，登陸頁面的域名在檢測到攻擊後的第二天被刪除。

在襲擊期間傳送了數以千計的惡意電子郵件，但警方沒有釋出有關受害者人數的任何資訊。

研究人員表示，被網路釣魚計劃所欺騙的人不得不改變他們的所有密碼，並格式化他們的計算機。

區塊鏈安全諮詢公司 曲速未來 表示：據瞭解到，網路釣魚攻擊僅依賴於Remcos遠端訪問工具來竊取資訊，目標銀行在冰島，併為攻擊者提供遠端訪問受感染計算機的許可權。