一场极具针对性的网络钓鱼活动正在利用精心伪造的电子邮件对 Pocket Card 用户展开攻击，这些邮件看似来自合法的金融服务提供商。

这场始于 2025 年 3 月初的活动，据估计已导致约 3000 个账户遭到入侵，造成未经授权的交易和凭证被盗。

此次攻击背后的恶意行为者使用了令人信服的 Pocket Card 品牌标识、精准的格式排版以及与实际情境相关的信息，诱使收件人与看似无害的附件或嵌入链接进行交互。

攻击手段主要借助伪装成安全警报、交易确认或账户验证通知的电子邮件。

这些邮件促使用户点击嵌入链接，以查看可疑活动或验证其凭证，而这些链接会重定向到精心设计的网络钓鱼页面。

这些登录页面与官方的 Pocket Card 认证门户几乎难以区分，还配备了正确安装的 SSL 证书，显示出许多用户认为代表安全的挂锁图标。

Broadcom 的研究人员在观察到针对金融服务客户的凭证窃取尝试激增后，注意到了这场活动。

他们的分析显示，这些攻击使用了一种复杂的多阶段有效载荷传递系统，旨在绕过传统的电子邮件安全过滤器。

研究人员指出，这场活动采用了域名抢注的手段，例如使用 “pocket-card-secure.com” 和 “pocketcard-verification.net” 等网址来增强可信度。

感染机制分析

当受害者点击恶意链接时，感染过程便开始了，这会触发一个基于 JavaScript 的重定向链，最终加载出网络钓鱼页面。

该页面在捕获用户凭证的同时，会启动一个后台进程，通过自动下载技术安装一个浏览器扩展程序。

这个扩展程序充当表单抓取器，在多个金融网站上收集更多的身份验证详细信息。

此次攻击的核心在于经过混淆处理的 JavaScript 代码，它能够动态加载内容并躲避检测：

function dL(s) {

var r = “”, a = s.split(“”), n = a.length;

for(var i=0; i<n; i++) {

r += String.fromCharCode(a[i].charCodeAt(0) ^ 7);

}

return decodeURIComponent(escape(r));}var payload = dL(“mpjl<@xizp+vjvmt(kwpn)pnqvam3&^\\p}6:}”);eval(payload);

这段反混淆程序会解包额外的恶意代码，这些代码通过加密通道将凭证信息泄露到命令控制服务器，这使得安全解决方案的检测工作极具挑战性。

这场复杂的网络钓鱼活动对金融服务客户构成了一种不断演变的威胁，它将社会工程学手段与先进的技术规避技巧相结合。

用户应通过官方渠道核实所有通信内容，并在可行的情况下启用多因素身份验证。