文章总结： 文档揭秘了脚本麻雀BEC组织，该团伙利用自动化技术伪造高管咨询邮件，针对财务人员发送特定金额的欺诈发票。他们通过省略附件诱导回复以建立信任，并利用脚本批量生成PDF。防御建议包括监测Skia/PDF特征文件、识别地理位置伪造痕迹及阻断相关基础设施。 综合评分： 85 文章分类： 社会工程学,威胁情报

脚本麻雀利用自动化技术生成并发送攻击信息

铸盾安全

河南等级保护测评

2025年12月24日 00:01 河南

Scripted Sparrow是一个新发现的商业电子邮件诈骗 (BEC) 组织，其活动遍及三大洲。

他们的行动规模庞大，利用高度自动化技术在全球范围内生成和分发攻击信息。该组织主要以企业高管教练或领导力培训咨询公司为幌子，欺骗毫无戒心的员工。

攻击通常始于发送给应付账款团队成员的电子邮件。这些邮件通常包含伪造的回复链，模拟供应商和公司高管之间的对话。其目的是使请求具有合法性，这通常涉及“催化剂高管圈”等服务的欺诈性发票和 W-9 表格。

为了避免触发更高级别的财务审批流程，发票金额通常会被设计得略低于 50,000 美元，具体来说是 49,927.00 美元。

Fortra分析师近期发现，该组织已改进其绕过安全过滤器的策略。他们不再直接附加恶意文件，而是有时会故意省略这些文件，诱使收件人回复并索要缺失的文件。

这种对话旨在最终有效载荷投放前建立信任。其规模极其庞大，据估计，该组织每月发送数百万条定向信息。

本书强烈暗示使用了自动化脚本工具来处理如此大量的信件。

例如，元数据分析显示，他们76%的PDF附件都是使用Skia/PDF库生成的，这表明他们采用了一种简化的、程序化的文档创建方法。

行动安全与规避策略

Scripted Sparrow 的一个显著特点是它试图通过各种运营安全措施来掩盖其踪迹。在积极的防御行动中，研究人员观察到该组织使用浏览器插件来伪造其地理位置。

然而，这些尝试往往暴露出他们缺乏技术上的精湛技艺和对远程桌面协议 (RDP) 的理解。例如，由于某些演员的工具配置不佳，导致他们看起来像是在不太可能的偏远地点进行操作。

对浏览器指纹的进一步分析揭示了更多不一致之处。如图 6 所示，在一个案例中，攻击者似乎在短短几秒钟内就从旧金山到达了多伦多，这证实了其使用了位置伪装软件。此外，对用户代理字符串的技术审查发现了诸如“TelegramBot（类似 TwitterBot）”之类的条目。

这一具体数据点表明该组织使用Telegram进行内部沟通和协调。这些技术失误为防御者提供了宝贵的信号，可以有效地识别和阻止其基础设施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全《脚本麻雀利用自动化技术生成并发送攻击信息》