发现于受以下保护的环境中： 微软

作者：Justin Rudd，Cofense 网络钓鱼防御中心

最近几周，Cofense 网络钓鱼防御中心 (PDC) 观察到一种称为“性勒索”骗局的常见骗局策略的演变。这些诈骗在不同的部门和行业中广泛存在，并且由于企业邮箱中普遍缺乏恶意 URL 或附件、随机发送地址以及每个诈骗都是针对相关目标量身定制的事实，因此很难阻止。这些因素使得传统安全套件难以检测和消除威胁。

图 1：企业邮箱正文

尽管图 1 中的内容很模糊，但企业邮箱正文中列出了目标的假定地址和电话号码，以吸引目标的初步注意。虽然通常的性勒索诈骗企业邮箱来自随机或欺骗的企业邮箱地址，但此版本的趋势是企业邮箱来自似乎是随机选择的 Gmail 帐户。以前的诈骗企业邮箱也更简单，因为所有内容都包含在邮件正文中，很少附带 URL 或附件。对于这些消息正文，它们仅包含唯一的个人信息：潜在目标的姓名、地址和联系方式。

图 2：附件 PDF 文件

这些企业邮箱包含 PDF 文档，其中包含性勒索企业邮箱中预期的语言，并添加了目标假定家庭或工作场所的照片。使用的图像并不总是代表他的居住地；它可以只是街道或其周围环境的照片。这表明他们可能会自动生成在企业邮箱中使用的图像，而不是手动检索它们。该文件首先通过目标的名字和姓氏以及他们的邮寄地址和地址照片来称呼他们。威胁行为者可能使用谷歌街景等地图服务来获取目标生活或工作地点的图片，并威胁如果他们不回复企业邮箱，就会拜访他们。

威胁行为者将声称使用“Pegasus”间谍软件破坏了目标的系统，并将使用额外的技术词汇来利用目标潜在的知识缺乏。他会声称已经观察了目标很长一段时间，积累了大量信息。为了建立可信度，威胁行为者会使用常见的俚语，表达自信，同时暗示他们已经记录了目标，甚至补充了周围的环境。

恶意行为者向目标提供两个选项。第一种是忽略企业邮箱，这将导致发件人威胁将所谓的视频泄露给目标的联系人。在第二种选择中，恶意行为者声称，如果目标用加密货币“比特币”向他支付一定金额，他将删除视频并消失。然后，他们将提供其比特币钱包地址以及所请求的金额，并附上列出了相同比特币地址的二维码。

与以前的骗局相比，此类骗局的演变包括系统地使用随机 Gmail 地址，并包括目标的居住地或工作地点以及目标的潜在照片。虽然以前版本的性勒索诈骗有时会使用欺骗性企业邮箱地址作为恐吓策略，但不良行为者似乎开始专注于更直接、更容易的恐吓方法，以更加个人化的方式威胁目标。

同一时期，Cofense 还发现了与传统性勒索活动相比较小的次要差距：计费服务。在下图中，我们看到恶意行为者使用 Deepfin，这是一个适合个体经营者的免费立陶宛发票生成平台。不良行为者将使用此类服务​​来绕过安全措施，因为在大多数情况下，计费服务将代表不良行为者发送企业邮箱。这确保了通常对任何安全性可见的大多数信息都以某种方式被服务的标头信息或企业邮箱内容覆盖。

虽然使用计费服务有助于将企业邮箱发送到用户的收件箱，但其中的内容仍然主要是常见的性勒索语言，不良行为者声称已经危害了用户的计算机，并会接受加密货币付款，以换取不向所述用户透露内容用户的联系人。为了绕过额外的安全层，这些恶意行为者选择将包含的钱包地址一分为二。由于加密货币钱包地址是这些类型的诈骗中不断增加的内容，因此地址分割有助于避免任何识别这些签名的检测方法。

Cofense 引用的所有第三方商标，无论是徽标、名称或产品形式还是其他形式，仍然是其各自所有者的财产，并且使用此类商标绝不表明 Cofense 与商标所有者之间存在关系。本博客中有关绕过端点保护的所有观察均基于基于一组特定系统配置的时间点观察。后续更新或不同的配置可能会有效阻止这些或类似的威胁。过去的表现并不能保证未来的结果。

Cofense® 和 PhishMe® 名称和徽标，以及本博客上显示的任何其他 Cofense 产品或服务名称或徽标都是 Cofense Inc. 的注册商标或商标。