新闻
News Today
Storm-3075 组织滥用 AI 品牌发起钓鱼攻击
用户看似在访问 ChatGPT、Claude 等官网,实则可能已将账号密码及信用卡信息泄露给黑客。2026 年 6 月 8 日,微软威胁情报部门发布报告,揭露代号为 Storm-3075 的威胁组织正系统性滥用全球主流 AI 品牌进行钓鱼攻击。
攻击者仿冒 ChatGPT、Anthropic Claude、DeepSeek V4 及 Microsoft Copilot 的登录页和订阅门户,旨在窃取用户凭证、浏览器会话令牌及支付信息。仅针对 Claude 的定向攻击已波及超 2000 家企业,其中美国占 62%,英国 18%,印度 9%;同期,以 ChatGPT 为主题的钓鱼邮件向瑞士和奥地利发送量逾 10 万封。此外,名为"Awesome AI"的恶意浏览器扩展通过合法渠道分发,已感染 6.6 万台设备,持续监控并窃取数据。
AiTM 架构绕过多因素认证
此次攻击的核心威胁在于采用了 AiTM(对手在中间)架构。与传统钓鱼仅能窃取密码不同,AiTM 将受害者流量路由至攻击者控制的代理服务器,在认证过程中实时拦截会话令牌。这意味着即便企业启用了多因素认证(MFA),防御也形同虚设,攻击者获取的是已认证的活跃会话。
紧跟热点快速伪造,形成黑色产业链
攻击者展现出极高的响应速度。DeepSeek V4 公开预览版发布仅 45 分钟后,Storm-3075 便在 GitHub 创建了仿冒仓库,用户下载所谓“配套工具”后即被植入 Vidar 信息窃取木马。这表明攻击者正实时监控 AI 行业动向,利用新品发布窗口期扩大攻击面。
该组织与提供“恶意软件签名即服务”的 Fox Tempest 协作,后者负责为恶意载荷赋予合法数字签名以绕过安全检测,双方构成了完整的攻击产业链。随着 AI 成为企业基础设施,此类针对高热度品牌的钓鱼攻击将常态化。企业需重新审视 MFA 策略对 AiTM 攻击的防御盲区,并提升员工对非官方渠道 AI 工具的风险意识。
来源:Daily Security Review