网络钓鱼活动直指对冲基金和金融公司

近日，一项名为“Beyond the Grave”的新网络钓鱼活动于2019年1月9日针对国际对冲基金开展，攻击者表示他们将来会继续瞄准银行和金融机构。

一位名叫XanderBauer的成员在BleepingComputer论坛上发布了一个标题为“Beyond the Grave 病毒感染对冲基金”的帖子。该帖子指出，他们的网络钓鱼活动旨在改变目标对冲基金的数据机密性，但目前尚不清楚这是否会被用于攻击者的财务优势或出于政治原因导致市场不稳定。被“Beyond the Grave”病毒感染的公司包括Elliot Advisors、Capital Fund Management、AQR、Citadel、Baupost Group和Marshall Wace。

Phisher的论坛帖子

虽然仅列出了六家对冲基金/金融公司，但攻击者共享的图像显示，他们也瞄准了伯恩斯坦联盟，根据其2018年第四季度的审查，其AMU（管理资产）为5164亿美元。

发布到论坛中的是指向imgur.com图片库的链接，该图片展示了攻击者的网络钓鱼活动。在下图中，我们可以看到正在进行的网络钓鱼活动，并向AQR，Citadel，Bernstein和Capital Fund Management发送电子邮件。 

正在执行的网络钓鱼工具包

还包括作为证据的是网络钓鱼活动电子邮件的示例，其中打开的窗口显示了执行网络钓鱼工具包的命令。

使用网络钓鱼套件发送电子邮件

这些网络钓鱼电子邮件假冒了一家名为Aksia的合法金融研究公司，并假装研究与英国脱欧期间停止卖空的ESMA（欧洲证券和市场管理局）有关的谣言。

网络钓鱼电子邮件示例

这些网络钓鱼电子邮件包含指向位于www.aksia.co网站的涉嫌研究的链接，该网站试图冒充真正的Aksia.com网站。访问这些URL时，除了空白页面外不会显示任何内容。目前尚不清楚有效载荷是否已被取消，或者是否有意欺骗受害者进一步与攻击者进一步沟通。

攻击者发布了一张图片，说明至少有一名收件人因此次袭击而遭受攻击，因为受害者回复攻击者要求提供更多信息，因为“链接无法正常工作”。 

这就是为什么所有电子邮件用户在点击之前始终检查网址的合法性非常重要。这可以通过简单地转到URL的根目录来完成，在这种情况下是https://www.aksia.co，他们会看到一个空白页面，这应该是可疑的。同时搜索Aksia会显示与电子邮件中的域不同的域。

攻击者的Aksia.co

此次网络钓鱼活动所针对的所有公司，日前只有Marshall Wace发言人回应表示： “我们知道，Marshall Wace与其他资产管理公司一起最近成为网络钓鱼活动的目标，但我们的网络安全系统可能会引发潜在的入侵，我们相信没有破坏我们的环境。我们仍然保持警惕。”而熟悉此事的消息人士表示，Citadel知道网络钓鱼活动并没有受到影响。

目前，这些类型的网络钓鱼活动继续发展，因此，用户在打开来自匿名发件人的任何电子邮件附件时必须谨慎,建议在单击之前始终检查URL的合法性。

来源：https://www.bleepingcomputer.com/news/security/phisher-announces-more-attacks-against-hedge-funds-and-financial-firms/