研究人员称,一款名为阿斯塔罗特(Astaroth)的新型网络钓鱼工具包能够通过会话劫持绕过双因素身份验证。(图片来源: shutterstock 图库)一款新型网络钓鱼工具包能够通过会话劫持以及实时拦截来自谷歌邮箱(Gmail)、雅虎(Yahoo)、美国在线(AOL)和微软 365 等服务的用户凭证,绕过双因素身份验证。据 SlashNext 发布的一份报告显示,这款名为阿斯塔罗特(Astaroth)的工具包于今年 1 月首次在网络犯罪论坛上进行宣传,它采用了类似 evilginx 的反向代理技术,来拦截和操控受害者与合法身份验证系统之间的网络流量。作为中间人,它能够实时捕获登录凭证、令牌以及会话 cookie,使得双因素身份验证保护机制形同虚设。与传统的网络钓鱼工具包不同,传统工具包依靠静态的虚假登录页面来窃取主要凭证,而阿斯塔罗特则在用户输入身份验证数据的瞬间进行拦截,使网络犯罪分子无需受害者进行额外的身份验证,就能立即完全访问被攻陷的账户。一旦受害者点击了网络钓鱼链接,他们就会被重定向到一个充当反向代理的恶意服务器,该服务器会镜像合法的登录页面。由于配备了有效的 SSL 证书,用户不会看到任何安全警告,这使得这种攻击几乎难以被察觉。当受害者输入用户名和密码时,阿斯塔罗特会在将请求转发到实际的身份验证服务之前实时捕获这些信息。为了完全绕过双因素身份验证(2FA),这款网络钓鱼工具包会自动拦截通过短信、身份验证应用程序或推送通知生成的一次性密码。网络犯罪分子会通过网页面板界面和 Telegram 通知立即收到提醒,从而能够在受害者起疑之前控制账户。阿斯塔罗特还通过捕获会话 cookie 进一步增强了其攻击效果,这些会话 cookie 有助于攻击者完全绕过身份验证。通过将窃取的 cookie 注入到自己的浏览器中,黑客无需用户名、密码或双因素身份验证令牌,就能冒充受害者。这款网络钓鱼工具包在网络犯罪市场上的售价为 2000 美元,并提供为期六个月的持续更新服务。卖家在 Telegram 和地下论坛上推广阿斯塔罗特,还会为潜在买家提供现场演示。为了吸引更多客户,开发者公开分享了他们绕过诸如谷歌验证码(reCAPTCHA)和 BotGuard 等安全功能的技术细节。阿斯塔罗特还提供了诸如 “防弹” 托管等定制托管选项,使其能够抵御执法部门的关停行动。由于托管在监管力度较弱的司法管辖区,这款工具包确保了网络犯罪分子能够不受干扰地进行操作。SlashNext 的现场首席技术官 J・斯蒂芬・科斯基(J Stephen Kowski)告诉《信息安全媒体集团》,一个关键的教训是,即便是强大的登录流程,也可能被那些能够立即获取双因素身份验证代码和会话数据的威胁行为者所破解。科斯基表示:“安全团队应该在网络、电子邮件和移动渠道上使用快速、实时的威胁检测工具,同时还要教导用户识别虚假页面。”发现阿斯塔罗特的 SlashNext 研究人员建议各组织部署由人工智能驱动的安全工具,以便在网络钓鱼企图到达用户之前就对其进行检测和拦截。
