文章总结: 文档分析朝鲜黑客团队利用GoogleSites服务伪造Google日历钓鱼页面,诱导用户下载恶意签名插件并运行PowerSSH命令实施攻击。攻击者通过虚假系统设置提示窃取用户密码,关联文件包括Gapi.dmg和多个恶意样本。文章提供相关IOC指标(IP、域名、SHA256)并警示此类Google服务钓鱼手法近年常见,建议用户警惕异常权限请求。 综合评分: 82 文章分类: 社会工程学,恶意软件,实战经验,安全意识,威胁情报
Google日历钓鱼?朝鲜黑客团队商业黑客钓鱼投毒盗U真实案例分享
原创
flute flute
Ice ThirdSpace
2026年6月29日 11:34 广东
在小说阅读器读本章
去阅读
本篇文章来自于flute兄弟的分享
通过推文中的项目找到联系方式,收到一个私聊,想要将输出的内容做成一个商业服务模式,然后发来一个”Google的日历安排”,实际上是谷歌的sites服务来创建的
图片翻译了一下,可以直接看这个
这个网站会让下载一个”签名插件”,要求获取文件夹的”读取”权限,但是实际上Google的的服务软件都是电子签名无需确认。
最后还有个逆天但是日常的操作,就是复制一个POWERSHELL命令,一旦运行了那就直接上线了
相关的恶意文件
相关沙箱分析
https://s.threatbook.com/report/file/cbb8aee0bc58a103a07f8c5c13033f20217c327dde018b2233a4c875a1930aff
https://s.threatbook.com/report/file/799afe30be0e7ae874f71631dbffd6bdda042c4ba9f4fcb301b9bf612ac48d6d
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZ8RW5CbVo2htHHsgeP2
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZ8RV6CSmTITNisAFv0C
Gapi.dmg文件会在运行后钓鱼进程osascript来弹出内容,osascript“You need to configure system settings before running application. Please enter password.”(您需要在运行应用程序前配置系统设置,请输入密码。)一旦输入密码,会将密码打包外发。
实际上该攻击手段也是近几年常见的攻击手法,常利用google sites服务来搭建恶意钓鱼网站
警惕!Gmail邮件正遭遇史上最危险的钓鱼攻击
使用谷歌,损失14万
黑客利用 Google 搜索广告窃取 Google Ads 帐户信息
相关IOC
IP 地址(196.251.107.171)
域名(fewfwfwfwfwf.info, wdqoqwdkoqdw.info)
sha256(
cbb8aee0bc58a103a07f8c5c13033f20217c327dde018b2233a4c875a1930aff,799afe30be0e7ae874f71631dbffd6bdda042c4ba9f4fcb301b9bf612ac48d6d)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Ice ThirdSpace flute flute《Google日历钓鱼?朝鲜黑客团队商业黑客钓鱼投毒盗U真实案例分享》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论