|黑客滥用Ngrok平台进行网络钓鱼攻击

威胁情报公司Cyble的研究人员在一次新的网络钓鱼活动中发现了滥用Ngrok平台的威胁行为者。

威胁情报公司Cyble的研究人员发现了针对多个滥用ngrok平台的组织的新一波网络钓鱼攻击， ngrok平台是通往本地主机的一个安全且可自省的隧道。
ngrok是一个跨平台应用程序，用于将本地开发服务器公开到Internet ，通过创建到本地主机的长寿命TCP隧道，该服务器似乎托管在ngrok的子域（例如4f421deb219c[.
ngrok[.
io）上。专家们指出， ngrok服务器软件运行在VPS或专用服务器上，可以绕过NAT映射和防火墙限制。

图源自图虫创意
威胁行为体正在为多种恶意目的滥用协议。
Cyble发布的帖子中写道：“多个威胁参与者滥用ngrok平台，获得对目标的未经授权访问，以交付额外的有效载荷、过滤信用卡/借记卡信息等金融数据，并实施有针对性的网络钓鱼攻击。 ”
专家指出，滥用ngrok平台的攻击很难被发现，因为连接到ngrok的子域ngrok.com网站不会被安全措施过滤。
专家们提供了一份由网络犯罪组织和国家规定的行为者（如Fox Kitten和Pioneer Kitten APT组织）实施的基于ngrok的攻击清单。
专家们报告了多个恶意软件和网络钓鱼活动滥用ngrok隧道，包括
使用ngrok隧道的恶意软件/网络钓鱼活动的一些新变种：

Njrat公司
暗度计
类星体大鼠
阿辛拉特
纳米核心大鼠

Cyble关注的是施暴者的威胁ngrok.io公司提供网络钓鱼攻击。
“有趣的是，我们发现ngrok.io公司Cybler继续说：“不同的威胁参与者，如BIN CARDERS、Telegram-carderdata和linlogpass ，在darkweb市场/泄密和网络犯罪论坛中使用的链接。 ” 。
Cyble还发现了一个名为“KingFish3（Social master）”的网络钓鱼工具包，它在一个网络犯罪论坛上做了广告。专家们发现，一名威胁参与者在论坛上分享了该工具的Github链接，该工具还滥用ngrok隧道实施攻击。
以下是专家们确定的滥用ngrok隧道和实施网络钓鱼攻击的步骤：