Google日历钓鱼?朝鲜黑客团队商业黑客钓鱼投毒盗U真实案例分享

admin 2026-06-30 08:42:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档分析朝鲜黑客团队利用GoogleSites服务伪造Google日历钓鱼页面,诱导用户下载恶意签名插件并运行PowerSSH命令实施攻击。攻击者通过虚假系统设置提示窃取用户密码,关联文件包括Gapi.dmg和多个恶意样本。文章提供相关IOC指标(IP、域名、SHA256)并警示此类Google服务钓鱼手法近年常见,建议用户警惕异常权限请求。 综合评分: 82 文章分类: 社会工程学,恶意软件,实战经验,安全意识,威胁情报


cover_image

Google日历钓鱼?朝鲜黑客团队商业黑客钓鱼投毒盗U真实案例分享

原创

flute flute

Ice ThirdSpace

2026年6月29日 11:34 广东

在小说阅读器读本章

去阅读

本篇文章来自于flute兄弟的分享

通过推文中的项目找到联系方式,收到一个私聊,想要将输出的内容做成一个商业服务模式,然后发来一个”Google的日历安排”,实际上是谷歌的sites服务来创建的

图片翻译了一下,可以直接看这个

这个网站会让下载一个”签名插件”,要求获取文件夹的”读取”权限,但是实际上Google的的服务软件都是电子签名无需确认。

最后还有个逆天但是日常的操作,就是复制一个POWERSHELL命令,一旦运行了那就直接上线了

相关的恶意文件

相关沙箱分析

https://s.threatbook.com/report/file/cbb8aee0bc58a103a07f8c5c13033f20217c327dde018b2233a4c875a1930aff

https://s.threatbook.com/report/file/799afe30be0e7ae874f71631dbffd6bdda042c4ba9f4fcb301b9bf612ac48d6d

https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZ8RW5CbVo2htHHsgeP2

https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZ8RV6CSmTITNisAFv0C

Gapi.dmg文件会在运行后钓鱼进程osascript来弹出内容,osascript“You need to configure system settings before running application. Please enter password.”(您需要在运行应用程序前配置系统设置,请输入密码。)一旦输入密码,会将密码打包外发。

实际上该攻击手段也是近几年常见的攻击手法,常利用google sites服务来搭建恶意钓鱼网站

警惕!Gmail邮件正遭遇史上最危险的钓鱼攻击

使用谷歌,损失14万

黑客利用 Google 搜索广告窃取 Google Ads 帐户信息

相关IOC

IP 地址(196.251.107.171)

域名(fewfwfwfwfwf.info, wdqoqwdkoqdw.info)

sha256(

cbb8aee0bc58a103a07f8c5c13033f20217c327dde018b2233a4c875a1930aff,799afe30be0e7ae874f71631dbffd6bdda042c4ba9f4fcb301b9bf612ac48d6d)


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Ice ThirdSpace flute flute《Google日历钓鱼?朝鲜黑客团队商业黑客钓鱼投毒盗U真实案例分享》

评论:0   参与:  0