攻擊者如何利用 AI 生成的大量假網站,散佈被動過手腳的 Syncro 合法遠端存取工具(RAT)。
Syncro + Lovable:透過 AI 假網站投放 RAT
我們近期偵測到一波相當有趣的新型惡意攻擊行動。攻擊者自行製作並簽署合法遠端存取工具(Remote Access Tool, RAT)的客製版本,並借助 AI 服務大量生成假網站,冒充各種應用程式的官方下載頁面,以散佈已被植入惡意設定的軟體。
以下將介紹這種攻擊手法的運作方式、危險性,以及如何保護自己。
攻擊是如何運作的?
攻擊者主要透過兩條路徑發動攻擊:
- 透過 Google 搜尋引導使用者誤入假網站
攻擊者建立大量的假網站,其網址往往與使用者搜尋的關鍵字非常接近,看起來相當可信,因此容易讓人不小心點進去。
例:搜尋結果中常出現一堆「寶可夢」式的假網站,實際上是冒充 Polymarket 的釣魚頁面。
- 發送惡意電子郵件(釣魚郵件)
另一種方式,是寄出看似官方的通知信件,誘導使用者點擊連結。
例如下列假冒 DOP 專案的郵件:
親愛的 $DOP 持有者:
從 DOP-v1 到 DOP-v2 的代幣轉換已正式結束,已有超過 80 億顆代幣成功完成轉換。
現在 DOP-v2 領取入口已正式開放!
所有 $DOP 持有者現在都可以登入入口領取代幣。
領取你的 DOP-v2 代幣:https://migrate-dop[dot]org/
感謝你一路以來的支持,
DOP 團隊
假網站搭配恐嚇式手法(Scareware)
部分假網站偽裝成防毒軟體或密碼管理器,內容用「假警告」恐嚇使用者必須立即下載更新。
假 Avira 網站:
偽稱「偵測到漏洞」,要求使用者下載更新。
假 Dashlane 網站:
捏造「高風險加密資料外洩問題」,誘導使用者下載所謂的修補檔。
利用 Lovable AI 生成的假網站
雖然不同假網站的內容不太一樣,但有些共同特徵:
- 網址命名規則:{熱門 App 名稱} + desktop.com
這類域名與一般人會搜尋的字串非常接近,例如:
lacewalletdesktop.com 或 avira-desktop.com。
- 網站設計專業,不是簡單的粗糙複製
假網站不是直接複製官方網站,而是做成「風格類似」的變體,看起來很專業。
以下展示假冒 Lace 加密錢包網站的兩種版本(內容不同,但都很精緻)。
攻擊者利用 AI 網頁生成工具 Lovable 大量生產這些假網站。
由於攻擊者遺留了一些特徵,我們成功確認是假網站是利用 Lovable 所生成的。
使用 AI 讓他們能以「工廠模式」快速推出大量釣魚頁面。
Syncro 遠端管理工具
所有這些假網站都會引導使用者下載同一個載體:
攻擊者修改過的 Syncro。
Syncro 是 MSP 與 IT 支援團隊常用的合法工具,價格不貴(月費約 129 美元起),功能包括:
- 遠端桌面
- 執行命令
- 傳輸檔案
- 讀取系統日誌
- 編輯登錄檔
- 背景操作等
更危險的是:
安裝過程極度簡化,只要下載執行檔就會在背景完成安裝。
攻擊者版本的 Syncro 已內嵌他們的 CUSTOMER_ID,
一旦安裝完成,攻擊者即可立即取得受害者電腦的完整控制權。
同步安裝視窗只會短暫閃過幾秒鐘,一不注意根本看不到。
攻擊者的攻擊目標
根據目前觀察:
攻擊者似乎主要針對加密貨幣使用者,利用 Syncro 取得遠端存取權限後:
- 偷取錢包金鑰
- 轉走資產
- 侵入受害者的加密帳戶
如何保護自己?
這類攻擊之所以特別危險,有兩大原因:
- 假網站非常逼真,網址也不易察覺異常
若沒有直接對照官方網站,很容易誤信。
- 惡意軟體本身是「合法工具」
攻擊者利用 Syncro 這類合法遠端工具,使偵測難度變高。
Kaspersky 對這類工具使用 Not-a-virus 這種判定。
若 Syncro 被用於惡意用途,則會被偵測為:
HEUR:Backdoor.OLE2.RA-Based.gen
需要注意的是:
防毒軟體不會主動阻擋所有合法遠端工具,以避免影響正常工作流程,因此你必須注意警告訊息。
Kaspersky 用戶建議
如果出現「Not-a-virus」警告
請務必檢查是哪個遠端工具被安裝。
若不是你自己安裝的,就是極大警訊。
若你使用 Kaspersky Premium
你可啟用:
🔒 Remote Access Detection(遠端存取偵測)
- 能偵測 30 種以上常見遠端工具
- 包含 Syncro 在內,即使是合法版本也能提示
- 若你未曾安裝,可直接移除
這能有效防止不明遠端控制程式在你電腦中暗中運作。
資料來源 : https://www.kaspersky.com/blog/syncro-remote-admin-tool-on-ai-generated-fake-websites/54808/