區塊鏈安全咨詢公司 曲速未來 消息：前段時間，一場無恥的網絡釣魚活動讓冰島感到驚訝，向成千上萬的人發送了惡意電子郵件，企圖欺騙他們安裝強大的遠程訪問工具。

即使潛在受害者人數可能看起來很低，當地警方也表示這是襲擊該國的最大網絡攻擊。人們必須考慮到冰島的人口約為35萬，其中大約一半的公民居住在首都雷克雅未克。相比之下，2016年倫敦的人口超過850萬。

攻擊者使用同形異義技巧

襲擊事件發生在10月6日星期六晚上，其中有消息冒充冰島警察。這些電子郵件要求收件人進行詢問，并警告他們違規行為導致發出逮捕令。

一個鏈接導致了一個欺騙性的L?greglan版本-冰島警察，似乎提供了更多有關此事的信息。

為了使一切看起來都是真實的，該活動的作者使用同形異義技巧來注冊一個看起來像原始“logreglan.is”的域名。

“[...]攻擊者注冊了域名www.logregian.is - 使用小寫“i”（乍一看，可能看起來像小寫“L”或“l”），”研究人員在調查期間與警方合作時解釋。

他們補充說，消息中的鏈接使用切換小寫“i”為大寫“i”或“I”，所以“i”實際上看起來像一個小的“L”-使它與“logreglan”無法區分幾乎所有網絡用戶。

Remcos RAT再次用于惡意目的

高級威脅分析師在談到BleepingComputer時說，對于冰島而言，威脅是一個全新的威脅，指的是網絡釣魚計劃的復雜性。

攻擊者使用的工具是Remcos，這是一種功能強大的工具，可作為訪問遠程計算機的合法解決方案，之前用于惡意目的。

研究人員告訴我們，攻擊中使用的版本是2.0.7 Pro，它提供對其運行的工作站的完全訪問權限。

遠程訪問工具（RAT）的開發人員意識到他的Remcos有時被用于惡意目的，并告訴安全研究人員，因此實施了一種機制來防止濫用。

復雜的網絡釣魚計劃

網絡釣魚郵件中的鏈接將受害者帶到一個模仿冰島警方官方網站幾乎完美的網站，并要求用戶輸入他們的社會安全號碼（SSN）。

在冰島，可以通過銀行提供的服務對名稱和SSN進行公開咨詢，因此個人必須登錄當地銀行的在線帳戶才能執行此程序。

如果用戶輸入了錯誤的SSN，則合法服務會顯示提示進行更正的警報。網絡釣魚網站無法驗證數字的真實性，因此他們通常會接受用戶輸入的任何信息。

但是，在此活動的情況下，攻擊者能夠以某種方式檢查數字的有效性，從而增加了欺騙性。一種理論是他們使用的是過去泄露的數據庫。

陷阱很難避免

攻擊者建立了一個復雜的網絡釣魚方案，普通用戶很難檢測到。

虛假的冰島警方網站要求受害者輸入他們在網絡釣魚郵件中收到的身份驗證碼，以獲取有關針對他們的警方案件的更多詳細信息。

在下一步中，受害者在受密碼保護的檔案中接收所謂的文件，并在網頁上提供密鑰，該密鑰實際上是用于竊取信息并允許攻擊者遠程訪問受害計算機的打包RAT。

為冰島人量身定制的運動

“提取的.rar文件是一個.scr文件（Windows屏幕保護程序）偽裝成一個長文字的文檔，因此文件擴展名是隱藏的。文件名是'Boeunískyrslut?kuLRH30óktóber.scr'，大致翻譯為“10月30日被警方打電話詢問，”研究人員指出。

對RAT的分析表明，設置接收被盜數據的命令和控制（C2）服務器位于德國和荷蘭。

研究人員發現，攻擊者利用Remcos竊取銀行信息，因為它檢查受害者是否可以訪問冰島最大的銀行。

此時攻擊者仍然不為人知，但警方認為該活動是熟悉冰島行政系統的人的工作。電子郵件和虛假網站上的文字支持這一理論。

針對該活動的防御反應非常迅速，登陸頁面的域名在檢測到攻擊后的第二天被刪除。

在襲擊期間發送了數以千計的惡意電子郵件，但警方沒有發布有關受害者人數的任何信息。

研究人員表示，被網絡釣魚計劃所欺騙的人不得不改變他們的所有密碼，并格式化他們的計算機。

區塊鏈安全咨詢公司 曲速未來 表示：據了解到，網絡釣魚攻擊僅依賴于Remcos遠程訪問工具來竊取信息，目標銀行在冰島，并為攻擊者提供遠程訪問受感染計算機的權限。