被窃取的LinkedIn数据被用于钓鱼邮件攻击

上个月,有超过1亿个LinkedIn账户的相关信息出现在网上,现在滥用这些用户数据的恶意活动已经开始出现。

这些最终在暗网出现的偷来的帐户信息并不总是用于接管账户,它们可以以许多其他方式被滥用,包括恶意软件的传播。

周一,德国联邦CERT(CERT-BUND)在Twitter上警告说,恶意电子邮件中包含假发票,Word文档中包含接收者的个人称呼和商业角色。在这些电子邮件中的名字和商业业务最终都和LinkedIn泄漏相关,和LinkedIn的公共档案一致,CERT-BUND说。

像约翰内斯·乌尔里希在ICS SANS发的帖子所说,这些邮件有不同的语言,但收件人的全名,职位和公司名称都包含在消息中。“在过去不可以通过简单的屏幕刮刀(或API用户)” 的数据在LinkedIn泄漏后出现了,从而使得攻击者能够创造更多看似合理的电子邮件类增加他们感染成功的几率。

安全公司福克斯(Fox IT)也观察到恶意电子邮件被发送到在荷兰的用户,而且这些信息中包括荷兰文本,在电子邮件和附加的文档里都有。这些电子邮件在6月7日开始大量出现,带有取自收件人LinkedIn用户的页面中的第一个名字,姓氏,职位和公司名称。

这些网络钓鱼电子邮件的附件Word文档的名称也是基于接收者的个人信息命名的。

攻击者用恶意的宏命令和杂乱的内容塞满文档来试图诱骗用户启用宏查看文本。然而,这些宏命令会从被盗用的网站上获取一个二进制信息,安全研究人员确定了这个二进制信息是宙斯熊猫银行木马(the Zeus Panda banking Trojan)。

Proofpoint在4月有过详细的报道,这个银行恶意软件,也称为熊猫银行家(Panda Banker),在今年2月首次被Fox IT发现,它是基于臭名昭著的宙斯银行木马代码。熊猫银行家作者利用快速流量DNS来保护他们的基础设施,该方法以前被宙斯使用过。其他银行木马在宙斯的源代码几年前泄露后也出现了。

LinkedIn事件只是过去几周引人注目的数据泄露头条新闻中的其中一个,类似的恶意活动可能还会出现。Myspace, Tumblr,VK以及最近的Twitter用户,都可能成为类似的恶意邮件攻击的目标。