APT36 伪装印度邮政网站感染 Windows 和 Android 用户

一个与巴基斯坦有关的高级持续性威胁（APT）组织被归因于创建一个伪装成印度公共部门邮政系统的虚假网站，旨在感染印度国内的Windows和Android用户。

网络安全公司CYFIRMA将此次攻击归因于名为APT36（也称为Transparent Tribe）的威胁行为者。

该伪造的印度邮政网站名为postindia[.]site。来自Windows系统的用户访问该网站时会被提示下载一个PDF文档，而来自Android设备的用户则会下载一个恶意的应用程序包（“indiapost.apk”）。

CYFIRMA表示：“当从桌面访问时，网站会提供一个包含‘ClickFix’攻击技巧的恶意PDF文件。该文档要求用户按下Win + R键，将提供的PowerShell命令粘贴到运行对话框中并执行，这可能会危及系统安全。”

对与该PDF文件关联的EXIF数据进行分析显示，该文件由一个名为“PMYLS”的作者创建，这可能是指巴基斯坦总理青年笔记本计划。伪装成印度邮政的域名在2024年11月20日注册。

PowerShell代码的目的是从一个远程服务器（“88.222.245[.]211”）下载下一阶段的有效载荷，但该服务器当前处于不活跃状态。

另一方面，当同一个网站从Android设备访问时，它会鼓励用户安装他们的移动应用程序以获得“更好的体验”。一旦安装，该应用程序会请求大量权限，允许它窃取和导出敏感数据，包括联系人列表、当前位置以及外部存储中的文件。

公司表示：“该Android应用程序会将其图标更改为模仿不引人怀疑的Google帐户图标，以掩盖其活动，使用户在想要卸载应用时很难找到它。该应用还具备强制要求用户接受权限的功能，即使第一次被拒绝。”

该恶意应用还设计为即使在设备重启后，也会持续在后台运行，并明确请求忽略电池优化的权限。

CYFIRMA补充道：“‘ClickFix’这一技巧被网络犯罪分子、诈骗者和APT组织广泛利用，正如其他研究人员在野外观察到的那样。这种新兴的攻击手段构成了重大威胁，因为它可以攻击那些不了解或不熟悉此类方法的用户，甚至包括一些技术精通的用户。”

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；