【安全圈】黑客伪装成 Google 招聘人员窃取 Gmail 登录信息

关键词

网络钓鱼

一场精心策划的网络钓鱼攻击正在瞄准求职者，黑客通过伪造 Google 招聘机会，利用社交工程技巧窃取 Gmail 登录凭据和个人信息。

这一恶意操作利用了 Google 品牌的信任，伪造了令人信服的招聘邮件，诱导受害者进入虚假的登录页面，从而捕获其身份验证信息。

该攻击的主要手段是通过邮件社交工程，黑客伪装成 Google 人力资源代表，提供高薪职位机会。

这些欺诈邮件包含精心编写的职位描述和申请流程，看起来非常合法，带有官方的品牌标识和专业的沟通风格，仿佛是 Google 正式的招聘信函。

网络安全研究员g0njxa在调查针对大型科技公司的凭证盗窃活动时发现了这一钓鱼攻击。

证书滥用与规避技术
这次恶意软件攻击展示了通过滥用扩展验证（EV）证书来实现高度规避的能力。

攻击者已获得合法的Apple Developer ID证书，使用如“THOMAS BOULAY DUVAL”和“Alina Balaban”这样的名字，使其恶意应用能够绕过初步的安全审查机制。

这些签名的 DMG 文件在VirusTotal上完全未被检测到，成功实现了对安全厂商的完全规避。

分析恶意启动程序时，发现攻击者故意将签名者的名字嵌入标识符字符串中，采用类似“thomas.parfums”的模式，对应于“Thomas Boulay Duval”。

Mach-O 二进制文件包含连接到远程 AppleScript 载荷的嵌入式引用，利用Odyssey Stealer框架进行凭证收集操作。

恶意基础设施
该攻击活动的基础设施包括被攻陷的域名，如franceparfumes[.]org，用于托管恶意脚本，命令和控制服务器位于 IP 地址 185.93.89.62。

这些证书对网络犯罪分子而言具有重要财务意义，因为 Apple 的开发者认证过程涉及大量的时间和资金成本，一旦被撤销，将对持续的恶意操作产生重大影响。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！