揭秘尼日利亚的社会工程师

这些尼日利亚土豪正准备推出新玩意！

还记得419 scams [wiki]么。频繁发送邮件，声称自己是一名有钱人，请求他或她帮忙转移财产。事实上，当受害者移交相关财产信息以期望得到更大回报的时候，骗子们洗劫银行账户后就消失了！

“似乎这些骗子使用攻击技术以及盗取数据信息的恶意软件之前，使用了更复杂的网络犯罪和网络间谍组织手段”Palo Alto网络中心研究人员说。 来自Unit 42（威胁情报团队）的研究人员，概述了星期二发布的《419诈骗进化》中一系列对台湾和韩国企业进行的攻击。

在过去，社会工程学诈骗的主要目标“有钱，且毫无戒心的人”。自从有了新工具，这些419诈欺犯似乎改变了受害人的范围以及业务。

“演员们没有展示高超技术上的高才能，但表现出对非最初目标的威胁正在日益增长” Unit 42 情报总监Ryan Olson这样说。

未知的复杂攻击

Palo Alto网络中心追踪了这次攻击，Unit 42研究人员，为此花费了近3个月时间。这次攻击始于一封恶意Email的附件，当点击附件，受害者的电脑就会自动安装一系列的恶意软件。其中一个例子就是使用了一款名为NetWire的远控软件，这款远控软件支持管理Windows，Mac OS，Linux的机器。另一种工具DataScrambler，被用来重新打包NetWire，避免杀毒软件的查杀。报告中说DarkComet 远控也被用于这些攻击。

这些工具十分廉价，随便在一个地下论坛都可以轻易获取，并可能“用于部署到任何人的电脑上”报告中指出。

419诈欺犯是社会工程学的这块的大神级人物了，但作为新手菜鸟去使用这些恶意软件，就会明显表现出对整个操作的不熟悉。尽管这些命令和操作是在动态DNS（来自NoIP.com）和VPN（来自NVPN.net）服务器的基础上完成的，一些攻击者配置DNS的时候还是指向了自己拥有的IP地址。报告中说，研究人员甚至可以追踪连接到攻击者的手机和互联网提供商。

诈欺犯们还要学习很多

目前，攻击者还不会利用软件漏洞，只是依靠社会工程学（他们在这块非常牛逼）诱骗受害者安装恶意软件，似乎他们盗取密码和其他数据只是为了推动后续的社会工程学攻击！

“到目前为止我们还没有发现，但不能排除这种可能”研究人员如是说。

研究人员在发现一个尼日利亚攻击者在FaceBook上反复提到恶意软件，询问NetWire的特色功能或者使用Zeus和SpyEye的人请求技术支持。虽然研究人员并没有联系到这群特殊的演员，但是有一个例子，“他操作419诈骗，开始了他的犯罪生涯，使用在地下论坛发现的恶意工具提升技术”Palo Alto网络中心指出。

报告中建议屏蔽掉所有可执行附件的Email，检查.zip和.rar等潜在的恶意文件档案，防火墙也应该屏蔽掉一些被滥用的动态DNS域，用户也应该去适当了解如何鉴别恶意软件的知识。这份报告中包括了Snort和Suricata对NetWire探测的规则，研究人员同时还发布了一个免费工具来揭秘攻击者窃取的数据。

“在这个时候，我们不指望这些演员们会去开发新的工具或者是Exp，但是他们中更加强悍的演员可能会制造新的工具和新的技术”

91ri.org的译者注：整篇文章有些不通的地方，希望各位海涵。