网络犯罪分子正在使用虚假的社会保障管理局电子邮件来分发ScreenConnect RAT(远程访问木马)并破坏用户计算机。

网络安全专家已经发现了正在进行的计划,犯罪分子正在利用美国社会保障管理局(SSA)欺骗人们在计算机上安装一个名为ScreenConnect的危险远程访问木马(RAT)。一旦安装,这个程序给攻击者完全的远程控制,允许他们窃取个人信息,并安装更多有害软件。

noticedMalwarebytes的研究人员首先注意到这些虚假的电子邮件,这些电子邮件通知人们他们的“社会保障声明现在可用”,并敦促他们下载附件或点击链接查看它。这些电子邮件被设计成看起来非常真实,使人们很难说它们是假的。

这些电子邮件中的链接或附件导致下载安装 ScreenConnect 客户端的文件。为了让人们认为它是安全的,这些文件有时会给出误导性的名字,例如“ReceiptApirl2025Pdfc.exe“或”SSAstatment11April.exe”

ScreenConnectScreenConnect本身是公司用于IT支持的真正工具,让技术人员远程帮助用户。然而,在罪犯手中,它变得非常危险。一旦他们通过ScreenConnect控制计算机,他们可以查看文件,运行程序,并窃取敏感数据,如银行详细信息和个人识别号码。这背后的罪犯,有时被称为莫拉托里集团,主要想要进行金融欺诈。

reportedCofense的安全专家还报告了类似的网络钓鱼活动,模仿SSA。这些电子邮件经常声称提供更新的福利声明,使用不匹配的链接或在按钮后面隐藏恶意链接。

“虽然电子邮件的确切结构从样本到样本都发生了变化,但该活动始终向ConnectWise RAT安装程序提供嵌入式链接,”Cofense研究人员在他们的闪光警报中指出。

他们的研究结果表明,这些虚假电子邮件旨在安装ConnectWise RAT,这是合法软件ConnectWise Control(以前是ScreenConnect)的受污染版本。这场竞选活动导致2024年美国总统大选的活动增加,在2024年11月中旬左右达到顶峰。

是什么让这些攻击难以发现是罪犯如何运作。他们经常从被泄露的网站发送这些网络钓鱼 ema ils,使电子邮件地址看起来合法。他们还经常将电子邮件内容作为图像嵌入,从而阻止电子邮件过滤器能够读取和阻止有害消息。此外,由于ScreenConnect是一个广泛使用的程序,常规防病毒软件可能不会自动将其标记为威胁。

这不是犯罪分子第一次滥用合法的远程访问工具。正如Hackread.com之前报道的那样,类似的策略也被用于虚假的LinkedIn电子邮件来传播ConnectWise RAT。

这些假消息模仿了真实的InMail通知,使用旧的设计看起来令人信服。网络犯罪分子还使用复杂的网络钓鱼电子邮件,模仿知名品牌窃取信息。

例如,最近的一项活动针对澳大利亚航空公司澳航(Qantas),虚假电子邮件旨在看起来像该航空公司的真实营销信息。这些由Cofense Intelligence发现的电子邮件欺骗用户泄露了他们的信用卡详细信息和个人信息。