据BleepingCompuer 11月17日消息，自 9 月中旬以来，一个复杂的网络钓鱼工具包一直以北美用户为目标，利用劳动节和万圣节等假期，对消费者发动攻击。

根据Akamai安全研究人员的说法，该工具包使用多种逃避检测技术，并结合了多种机制，其中最为独特的功能是能基于令牌系统，确保每个受害者都被重定向到一个唯一的 URL钓鱼页面。

活动概览

Akamai 发现该钓鱼活动始于 2022 年 9 月，通过发送“有机会赢得知名品牌的奖品”为主题的钓鱼邮件，吸引那些企图寻找节日特惠的消费者上钩。

钓鱼邮件示例

钓鱼邮件中的链接不会引发任何安全告警，在经过一系列重定向，以及借助URL 缩短器隐藏大多数 URL后，大多防病毒软件无法识别其有害性，而攻击者滥用 Google、AWS 和 Azure 等具有良好声誉的合法云服务，也为绕过保护机制提供了便利。

这些钓鱼邮件假冒的品牌包括体育用品公司 Dick's、高端行李箱制造商 Tumi、达美航空、山姆超市会员店、开市客等。当受害者来到钓鱼页面，都会提示需完成一份限时5分钟的调查问卷来获得奖品。由于时间的紧迫性，让不少受奖品驱使的受害者没有时间过多犹豫。此外，为进一步打消受害者顾虑，攻击者还炮制出带有奖品实物图片的虚假用户评价，从而增加了钓鱼的成功率。

虚假的用户晒单评价

在获得所谓的“奖品”后，受害者会被要求输入付款的详细信息，以支付奖品运费。这些信息会被攻击者窃取，用于其他的网上消费。

Akamai 表示，大约 89% 的受害者来自美国和加拿大，并根据他们的确切位置，重定向至不同的网络钓鱼站点，以冒充当地品牌。

每个受害者都有一个唯一的 URL

通常，URL地址中的“#”用于将访问者引导至链接页面的特定部分，而在此钓鱼邮件活动中，锚标记代表 JavaScript 在网络钓鱼登陆时使用的令牌，将目标重定向至一个新的URL。

“HTML 锚点之后的值不会被视为 HTTP 参数，也不会被发送到服务器，但受害者浏览器上运行的 JavaScript 代码可以访问该值，”Akamai解释称。“在网络钓鱼诈骗的背景下，当验证它是否是恶意的安全产品扫描时，放置在 HTML 锚点之后的值可能会被忽略或忽略。”

Akamai 分享了如下两图，展示网络钓鱼链接锚点如何用于创建重定向链接。

基于锚令牌的重定向

安全产品和网络流量检测工具会忽略此令牌，因此不会给攻击者带来风险，并且能规避研究人员、分析师和其他非受害人群对钓鱼页面的访问。而对于受害者，该令牌还能对其活动进行追踪。总体而言，该工具包结合了几乎所有已知的有效性和检测规避技术，使其成为针对北美网络用户一个不可忽视的潜在威胁。

随着黑色星期五和圣诞节购物季的临近，专家提示，消费者在收到有关促销和特别优惠的信息时应格外警惕。

参考来源：https://www.bleepingcomputer.com/news/security/phishing-kit-impersonates-well-known-brands-to-target-us-shoppers/