Proofpoint 研究人员声称，近5年来日本知名消费和金融品牌受到 CoGUI 这个网络钓鱼工具包 的多次网络钓鱼攻击

概述
Proofpoint 观察到，针对日本组织的大量网络钓鱼活动显著增加。

被 Proofpoint 研究人员称为 CoGUI 的网络钓鱼工具包，它的大多数网络钓鱼活动都在网络钓鱼诱饵中滥用流行的消费者或支付品牌，包括 Amazon、PayPay、Rakuten 等。

CoGUI 网络钓鱼工具包是由 Proofpoint 研究人员发现的高度规避性的网络钓鱼框架，它主要针对日本用户。

观察到一些针对澳大利亚、新西兰、加拿大和美国用户的推广活动，但这些推广活动的发生频率远低于日本。

目前日本已成为这个网络钓鱼工具包受到攻击次数最多的国家之一。



日本当局最近已发布的详细信息关于针对金融机构的网络钓鱼活动增加。


攻击者的目标是获得受害者账户以获取经济利益。

Proofpoint 无法高度自信地确认此活动是否与 CoGUI 相关，但不排除这是网络钓鱼的一种可能结果。

值得注意的是，Proofpoint 在互惠关税之后的 2025 年 4 月观察到更多与金融相关的 CoGUI 活动公告，一些 CoGUI 活动使用了关税主题的诱饵。


主要发现
当前 Proofpoint 活动数据中数量最多的威胁是名为 CoGUI 的网络钓鱼工具包，该工具包积极针对日本组织。
CoGUI 活动冒充知名公司，主要是消费和金融品牌。
这些活动的目标是窃取用户名、密码和支付数据。

CoGUI 套件具有多种高级防御规避技术。

Proofpoint 已创建检测和新兴威胁规则来应对此活动。

CoGUI 活动与日本金融厅最近关于导致金融盗窃的网络钓鱼活动的报告一致。



活动详情
CoGUI 是一个复杂的工具包，它采用先进的规避技术，包括地理围栏、标头屏蔽和指纹识别，以避免被自动浏览系统和沙盒检测到。

这些方法使工具包能够有选择地针对特定地理区域，同时逃避安全措施，使其成为对目标国家/地区潜在受害者的重大威胁。

至少从 2024 年 10 月开始就在景观中观察到 CoGUI，自 2024 年 12 月以来由 Proofpoint 跟踪。

这些活动通常包括大量营销活动消息，每个活动的数量从数十万到数千万不等，我们的研究人员平均每月进行大约 50 次活动。

营销活动是一组有时限的相关活动，对于 CoGUI 营销活动，通常包括在 3 到 5 天的时间跨度内进行的活动。

Proofpoint 根据各种标准跟踪此活动，包括品牌滥用、发件人信息和威胁行为者使用的 CoGUI 基础设施。

活动的总消息量最近在 2025 年 1 月达到峰值，当月观察到的消息超过 1.72 亿条。应该注意的是，虽然这些活动中的大多数都直接体现在我们的 TAP 产品中，但总体数量足够高，以至于某些活动可能只是被现有检测阻止，而不会获得额外的情境化。




大多数 CoGUI 网络钓鱼活动都冒充亚马逊，但 Proofpoint 研究人员还观察到攻击者冒充日本 相关支付卡、交通卡、热门银行、乐天和苹果等零售商以及日本国家税务机构。