【威胁情报】二维码钓鱼攻击浪潮不断涌现：我国网民遭假冒官方文件攻击

关键要点 

• 2024 年二维码网络钓鱼攻击显著增加，网络犯罪分子利用该技术窃取个人和财务信息。 

• 威胁行为者 (TA) 正在使用嵌入二维码的办公文档，将用户重定向到旨在获取敏感数据的欺诈网站。 

• 近期，一场针对我国公民的网络钓鱼活动冒充人力资源和社会保障部，在伪造的官方文件中使用二维码 

• 该Microsoft Word文档伪装成1000元以上劳务补贴申请通知。 

• TA 采用域生成算法 (DGA) 来创建网络钓鱼 URL，使得检测和阻止更具挑战性。 

• 用户被以身份验证和身份验证过程为幌子诱骗提供银行卡详细信息和密码。 

概述 

在网络威胁不断演变的形势下，出现了一种新的媒介，即利用无处不在的二维码诱使毫无戒心的用户陷入网络钓鱼陷阱。最近，嵌入二维码的恶意文档数量大幅增加，扫描这些文档后，用户会被重定向到旨在窃取个人信息的欺诈网站。 

2024 年，二维码钓鱼攻击有所增加，凸显出网络犯罪分子利用这种看似无害的技术将用户引导至恶意网站或启动恶意软件下载的趋势日益明显。值得注意的是，Hoxhunt Challenge发现 2023 年下半年二维码钓鱼攻击增加了 22%，而Abnormal Security的研究表明，89.3% 的此类攻击旨在窃取凭证。  

二维码钓鱼活动的增加可以归因于几个因素。首先，二维码的广泛采用，尤其是在 COVID-19 疫情期间，使其成为一个方便的目标。二维码在非接触式交易、菜单和信息共享方面变得流行，使用户更习惯于毫不犹豫地扫描它们。这种熟悉感创造了一种虚假的安全感，使网络犯罪分子更容易利用它。 

其次，QR 码很容易掩盖目标 URL，使用户难以验证他们被重定向到的网站的合法性。与显示 URL 的传统超链接不同，QR 码不会立即显示其目标，这增加了网络钓鱼成功的可能性。 

此外，智能手机中集成二维码扫描器以及移动支付系统的兴起扩大了攻击面。威胁者可以将恶意二维码嵌入物理位置、电子邮件或在线文档中，扩大其影响范围，并使追踪和缓解这些攻击变得更加困难。 

最近，Cyble 研究与情报实验室 (CRIL) 发现了一项利用Microsoft Word 文档针对我国个人进行二维码网络钓鱼攻击的活动。这些文件疑似通过垃圾邮件附件分发，伪装成我国人力资源和社会保障部的官方文件。

图 1 – 包含二维码的 MS Word 文件 

该文件以申领劳务补贴的通知为幌子，声称对已注册的银行卡提供1000元以上的补贴，并指导用户使用手机扫描二维码进行身份验证，即可领取补贴。 

我们发现了另外几个与冒充我国机构的二维码钓鱼攻击有关的 Word 文件，其中大多数文件的检测率为零。这些二维码钓鱼攻击的目的是收集财务信息，包括信用卡详细信息和密码。 

图 2 – 类似的 MS Word 文件，但检测结果为零 

2023 年 1 月发现了类似的活动，并由Fortinet记录下来，其中二维码网络钓鱼攻击冒充了另一个我国某机构单位来瞄准用户。该活动再次出现，再次以我国用户为目标收集财务信息。

 网络钓鱼活动详情 

当用户扫描 Word 文档中的二维码时，他们会被引导至链接“hxxp://wj[.]zhvsp[.]com”。访问此链接后，他们会被重定向至子域名为“tiozl[.]cn”的 URL，该 URL 是使用域名生成算法 (DGA) 生成的。此 URL 托管一个冒充中华人民共和国人力资源和社会保障部的钓鱼网站。 

图 3 – 扫描二维码后显示钓鱼链接 

图 4 – 钓鱼网站的登录页面 

域名“tiozl[.]cn”托管在 IP 地址“20.2.161[.]134”上，该地址还与另外五个域名相关联。其中四个是“tiozl[.]cn”的子域名，一个是“zcyyl[.]com”的子域名。所有这些域名都与同一项活动有关，托管类似的钓鱼网站，表明分发工作规模巨大。域名列表如下： 

2wxlrl.tiozl[.]cn   op18bw[.]tiozl.cn   gzha31.tiozl[.]cn   i5xydb[.]tiozl.cn   hzrz7c.zcyyl[.]com

在进一步调查钓鱼网站后，我们发现与 IP 地址“20.2.161[.]134”关联的 SSH 服务器主机密钥 (bc5d98c0bfaaf36f9a264feefa572e97607eadff6ab70251ddaf59df486d7787) 的 SHA-256 指纹已被其他 18 个 IP使用。这些 IP 共享相同的 ASN AS8075，并且位于香港。以下是与此钓鱼活动相关的具有类似模式的托管 URL 的 IP 列表。 

52.229.166.225 20.2.16.132 52.184.66.142 52.175.13.206 20.2.200.161 20.255.100.54 52.229.190.40 20.255.73.44

登陆页面通过显示钓鱼网站的对话框来引诱用户，并提供劳动力补贴。当用户继续领取补贴时，他们会被重定向到另一个页面，提示他们输入个人信息，包括他们的姓名和国民身份证，如下图所示。  

图 5 – 钓鱼网站提示输入姓名和身份证号 

用户提供中文姓名和身份证号后，网站会出现一个绑定卡信息的页面，这些信息是申请成功后进一步支付处理所必需的。 

图6 – 钓鱼网站的卡绑定页面 

下一步，系统会提示用户输入银行卡详细信息，包括银行卡号、电话号码和银行卡余额。这些信息是以身份验证的名义要求输入的，但威胁行为者会收集这些信息以进行未经授权的交易。 

图 7 – 请求卡信息 

在收集输入的信用卡详细信息后，钓鱼网站会显示一个对话框，表明正在验证信息，并要求用户等待 2-3 分钟才能继续下一步。 

图8 – 信息验证页面 

钓鱼网站会弹出一个对话框，提示用户在验证过程中需要提供银行卡密码，然后加载一个钓鱼页面，提示用户输入提款密码，如图9、图10所示。 

图 9 – 显示带有提示的对话框的钓鱼页面 

图 10 – 要求输入提现密码的钓鱼页面 

我们怀疑这个提款密码与银行用户用于国内信用卡交易的支付密码相同。利用收集到的银行卡信息以及提款密码，威胁行为者可以进行未经授权的交易，从而导致用户财务损失。 

结论 

二维码钓鱼攻击的增多凸显了网络犯罪分子日益复杂的技术和适应性。通过利用二维码的广泛使用（尤其是在疫情后），这些攻击有效地诱使用户泄露敏感的财务信息。最近针对我国网民的活动凸显了这种威胁的严重性，因为恶意行为者使用看似官方的文件来收集信用卡详细信息和密码，导致重大财务损失。这一趋势凸显了提高警惕和采取强有力的安全措施以防范此类不断演变的威胁的重要性。 

攻击指标 (IOC) 

MS Word 文件

SHA256  8462bae8b5ac446fefab66d036696d4c29648052c35edb1ba7057e39808803fa SHA1 71f4eaebbd9cccaa2a9ca2575dbf12a420482394MD5 c31837a9c1ed6a540782f63d4f196b1

SHA256 - MS Word 文件 

8462bae8b5ac446fefab66d036696d4c29648052c35edb1ba7057e39808803fa 0dd2010270a61fd09b185e8116857d0ff36ce1a22f25d6cb1f0ddb09fa375511 e6f3c3b292e0b28e607131195edbaa00235dd555b4e5d1d7ca44e0d5975c111e b2cb6383ee2e192f3d6adfdab367d876506aa736556dcda5d46257a2801e508c 8551dfdc9dc899815155403d05664eea34e7e4edc950292ee5e7a4edc0a277e9 47ffcfaf7126e90c7abbae83f7e572607df79477a24103ef8ec7aea75f52cb25 6b7bb24281f720c16f626103f019882ca6144a2dc87f83df605861bc59ee6b14 d0a216f854b6849189b66efe7248a27d4ad5a8ae89a838d873392db42964b595 

https://cyble.com/blog/rising-wave-of-qr-code-phishing-attacks-chinese-citizens-targeted-using-fake-official-documents/