關鍵詞

網絡釣魚

在 LabHost 于 2024 年 4 月關閉之后，網絡釣魚即服務 (PhaaS) 領域出現了一個新的參與者，將自己定位為曾經占主導地位的平臺的繼承者。

SheByte 于 2024 年 5 月在 Telegram 上正式推出其服務，并于 6 月中旬全面推出，通過提供針對金融機構的復雜網絡釣魚基礎設施，迅速在加拿大網絡釣魚威脅領域中占據了很大一部分份額。SheByte 的商業模式圍繞每月 199 美元的高級訂閱套餐展開，長期訂閱可享受折扣。

此訂閱允許用戶無限制訪問針對 17 家加拿大銀行、4 家美國銀行、電子郵件提供商、電信公司和加密貨幣服務的靜態和可定制的網絡釣魚工具包。

該服務故意將自己宣傳為由單個開發人員運營——這是對個別 LabHost 開發人員受到執法部門威脅后引發的擔憂的直接回應。

雖然 LabHost 的關閉最初使針對加拿大銀行的 Interac 品牌網絡釣魚攻擊減少了一半，但 SheByte 迅速填補了這一空白。Fortra 研究人員指出，SheByte 在 2024 年 5 月占 Interac 品牌網絡釣魚攻擊的 8%，在 6 月完整平臺發布后上升至 10%，表明其在犯罪生態系統中的影響力日益增強。

Fortra 分析師發現，2025 年 2 月，SheByte 為其頁面構建器工具發布了“v2”可定制 Interac 套件，這是一項重大創新，引發了加拿大銀行網絡釣魚活動的顯著激增。

該平臺自豪地宣傳其 LiveRAT 儀表板，該儀表板使威脅行為者能夠實時監控網絡釣魚訪問、攔截多因素身份驗證代碼并向受害者請求更多信息。

該平臺的反檢測功能對安全專業人員來說是一項復雜的挑戰。SheByte 的規避設置允許客戶屏蔽特定地理區域、已知的VPN、代理以及來自可疑虛擬機的流量。

為了提供額外的保護，該服務提供了多種 CAPTCHA 實施選項來過濾安全研究人員和自動掃描工具。

技術指標和規避策略

SheByte 網絡釣魚工具包可以通過特定的技術標記進行識別。現已退役的 v1 Interac 工具包利用“/go/”目錄中的“start.php”文件作為其登陸頁面。

較新的 v2 工具包對 PHP 文件采用了八個隨機字母數字字符的命名約定，但這種模式在各個活動中保持一致，而不是為每個網絡釣魚實例生成唯一的名稱。

文件和目錄命名遵循類似的模式，目錄使用八個字符的序列，而表單接收器和 LiveRAT 組件使用七個或九個字符的名稱。盡管該服務不斷改進其策略，但這些技術指紋使安全團隊能夠檢測到 SheByte活動。

LiveRAT 的功能尤其令人擔憂，因為它們能夠實時操縱受害者的體驗，使攻擊者能夠根據受害者的行為調整其方法并可能規避標準安全措施。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！