钓鱼攻击活动长期以来一直依靠社会工程学来欺骗毫无防备的用户,但近期的发展已将这些攻击提升到了一个新的复杂程度。
攻击者如今利用先进的内容生成平台来制作高度个性化的电子邮件和网页,将真实的企业品牌与情境相关的信息相结合。
这些平台会分析公开的社交媒体资料、企业新闻稿和用户活动,生成模仿受害者沟通风格的文本,从而大大提高互动的可能性。
由此产生的电子邮件通常会避开基本过滤器,其方式是避免使用已知的恶意关键词,并采用在每次发送时都会变化的动态内容。
与此同时,这些平台整合了实时语言模型,可动态优化钓鱼模板,以适应不断变化的电子邮件防御措施和用户反应。
这种持续的学习循环使营销活动能够在几分钟内调整信息模板,从而使静态黑名单实际上变得过时。
趋势科技的研究人员在2025年8月识别出了几波此类人工智能增强型钓鱼攻击集群,每一波都针对不同的行业领域——从金融服务到医疗健康——这体现了威胁范围的广度。
随着各组织争相部署基于启发式和行为的过滤器,攻击者则以多态有效载荷进行反击,这些载荷会实时对文本和嵌入的URL进行变异。
除了电子邮件,攻击者还利用这些平台生成令人信服的仿冒登录门户,这些门户托管在云基础设施上,配有有效的SSL证书和特定地区的IP地址。
看似真实的域名、有效的证书以及个性化信息的结合,导致许多用户忽略了细微的警告信号。
趋势科技的分析师指出,此类攻击活动通常包含一个简短的验证步骤,模仿多因素认证提示,通过与标准企业登录流程保持一致,进一步降低用户的怀疑。
一旦凭证被窃取,后续的恶意软件会释放一个轻量级加载器,该加载器通过HTTPS与命令和控制服务器通信,与正常的网络流量混在一起。
与凭证窃取同时,这些攻击活动在其代码中部署了各种规避技术。嵌入的脚本采用加密和混淆程序来隐藏其真实目的,仅在运行时解密。
这个用PowerShell编写的加载器利用原生Windows API调用,在部署最终有效载荷前禁用监控服务。
一个有代表性的代码片段展示了该脚本如何动态解析API函数:-
$kernel = Add-Type –MemberDefinition @"
[DllImport("kernel32.dll")]
public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);
"@ –Name "Kernel" –Namespace "Win32"
$hMod = [Kernel]::GetModuleHandle("ntdll.dll")
$addr = [Kernel]::GetProcAddress($hMod, "NtOpenProcess")规避技术与检测挑战
这些由人工智能驱动的活动的一个关键方面在于它们能够规避基于特征和行为的检测系统。
动态生成的HTML有效负载包含随机的元素ID和内联样式定义,这些会随着每次交互而变化,使得特征匹配失去效果。
在网络方面,攻击者控制的域名采用快速流量DNS来轮换权威域名服务器,而恶意加载程序则通过标准端口建立加密隧道,将流量伪装在合法的SSL连接中。
依赖静态启发法的端点传感器经常被绕过,因为加载程序会在PowerShell执行时禁用Windows事件日志记录,然后在次级有效载荷激活后恢复日志记录设置。
这种打了就跑的策略留下的取证痕迹极少,这使得事后分析变得复杂,并延长了威胁行为者的潜伏时间。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
