卡巴斯基发现一场针对拉丁美洲、亚太地区、欧洲和非洲的恶意攻击活动。攻击者利用人工智能生成的网站分发合法远程访问工具Syncro。这些假冒网站通过搜索引擎或钓鱼邮件吸引用户,并伪装成加密货币钱包、反病毒软件、密码管理器等热门应用,诱骗用户下载原本合法的软件并将其用于恶意目的。该行动结合了恐吓软件策略——例如通过伪造的安全警报吓唬用户——以实现对受害者设备的远程控制,最终目的在于窃取加密货币。
针对"Polymarket桌面版"的搜索结果中,出现了指向分发远程访问工具的欺诈网站链接
分发远程访问工具的钓鱼网站示例
分发远程访问工具的钓鱼网站示例
攻击者利用 人工智能网站构建器“Lovable”来创建看起来专业的页面,其域名与相关主题的常见搜索查询(例如,多功能预测市场平台 Polymarket)高度匹配。这些网站不会完全克隆原版,而是创建令人信服的变体,使得乍看之下难以检测。这些网站通过搜索结果或欺诈性邮件吸引流量,这些邮件承诺代币迁移服务,或诱导用户安装交易应用、反病毒软件及各类软件更新。在所有情况下,用户最终都会安装合法的 Syncro 工具——该工具通常被IT团队用于远程设备维护。在上述攻击场景中,该工具被预先配置为授予攻击者对受害设备的全权访问权限,包括屏幕监控、文件查看及命令执行能力,且因其本身不具恶意属性,不会触发常规反病毒软件的警报。
一旦用户从欺诈网站下载并运行该软件,Syncro远程访问工具便会在其设备上安装
“这次的攻击行动揭示了不断演变的威胁态势,其中合法工具正通过人工智能驱动的欺骗手段而被武器化。通过自动化创建高质量的假冒网站,能够高效扩大攻击规模,利用用户对知名品牌和紧急警告的信任实施侵害。这提醒我们,即使是来自看似信誉良好的来源的签名软件,也需要仔细审查,”卡巴斯基恶意软件分析师Vladimir Gursky评论说。
为了防范此类攻击,卡巴斯基建议避免从未经核实的来源下载,特别是在处理金融事务或加密货币的设备上。在进行操作之前,务必核对网站URL是否与官方地址一致,并密切关注任何被建议安装或已安装的远程访问工具。此外,启用反网络钓鱼功能并定期进行安全审计,以减轻恐吓软件和远程访问漏洞利用带来的风险。
加载中,请稍侯......