揭露网络欺骗：针对多个品牌的通用网络钓鱼页面的兴起

原文地址：https://www.cloudsek.com/blog/unmasking-cyber-deception-the-rise-of-generic-phishing-pages-targeting-multiple-brands

摘要

CloudSEK 威胁研究团队发现了一个通用网络钓鱼页面，该页面可以使用通用登录页面冒充任何品牌来窃取凭据。该网络钓鱼页面使用Cloudflare 的免费域名服务workers.dev托管。

• • 看起来很普通的网络钓鱼页面托管在以下 URL 上：workers-playground-broken-king-d18b.supermissions.workers.dev，旨在从毫无戒心的受害者那里窃取凭据。
• • 通过将员工的电子邮件地址添加到通用网络钓鱼页面 URL 的末尾（以 # 符号分隔），可以自定义网络钓鱼攻击以针对特定组织。
• • 钓鱼网站使用 thum.io（免费网站屏幕截图生成器）对目标用户的电子邮件地址（例如 google.com）中找到的域进行屏幕截图，并将其用作钓鱼网站的背景来欺骗毫无戒心的用户。
• • 一旦受害者输入凭据进行登录，他们的凭据就会被泄露到远程端点 - hxxps://kagn[.]org/zebra/nmili-wabmall.php
• • 该网络钓鱼页面的DOM 使用 JavaScript（文件名：myscr939830.js）进行混淆，以逃避诈骗引擎的检测。

‍

分析与归因

钓鱼页面的技术分析

1. 1. 看起来很普通的网络钓鱼页面托管在以下 URL 上： workers-playground-broken-king-d18b.supermissions.workers.dev 其目的是从毫无戒心的受害者那里窃取凭证。

‍

图1 用于窃取凭据的通用钓鱼页面

‍

2.为了将通用的网络邮件登录页面变成模拟特定品牌骗局的使用：可以使用此精心设计的URL：workers-playground-breaken-broken-king-d18b.supermissions.workers.workers.dev/#[email protected]

‍

图2 在屏幕截图中，通用的网络钓鱼网页变成了假的Google登录页面

‍

3.可以通过将员工的电子邮件地址添加到通用网络钓鱼页面URL的末尾，并由＃符号隔开来定制针对特定组织的网络钓鱼攻击。

4.网络钓鱼站点使用Thum.io （免费网站屏幕快照生成器）在目标用户的电子邮件地址（例如 Google.com）中找到的域屏幕截图，并将其用作网站网站的背景来欺骗毫无疑问的用户。

‍

图3 通过使用针对性品牌的电子邮件制作网址，网站网站获取合法网站的屏幕截图，并将其作为背景

‍

5.受害者进入凭证登录后，他们的凭据将被隐秘的发送到远程端点_-hxxps://kagn[.]org/zebra/nmili-wabmall.php_

‍

图4 显示从模拟的钓鱼页面泄露到骗子控制的远程服务器的屏幕截图

‍

6.使用JavaScript（文件名： myscr939830.JS ）[图5]避免从骗局引擎逃避检测，将网络钓鱼页面的DOM混淆。但是，JavaScript并未复杂，很容易被反混淆。 反混淆后，可以从源代码验证页面的功能。

‍

图5 混淆钓鱼页面的页面源以逃避检测

‍

1. 7. 该代码片段阻止用户查看页面源代码，可用于识别和阻止网络钓鱼尝试 - 图6

‍

图6 可以通过阻止查看页面源代码的能力来混淆网络钓鱼攻击

‍

1. 8. 下面是反混淆源代码中的功能，演示了如何使用来自 thum.io 的免费服务和 Google 的 favicon 获取器端点动态生成网络钓鱼页面。

‍

图7 通过滥用 google 和 thum.io 等免费服务动态生成背景

‍

归因

1. 1. 根据混淆的 Javascript 文件的相似性，我们发现了其他采用相同策略但由 Cloudflare 的r2.dev托管的网络钓鱼 URL： https://pub-3bb44684992b489e903bd3455d3b6513.r2[.]dev/WEBDATAJHNCHJF879476436743YREBHREBNFBJNFHJFEJERUI4894768467RYHGJGFHJGHJ.html

‍

1. 2. 在对同一个 JavaScript 文件 (myscr939830.js) 进行深入分析时，发现它托管在免费的区块链存储服务web3.storage上。

3. 威胁行为者将被盗凭证泄露到远程服务器 kagn[].org。该域名由威胁行为者控制，于 6 年前注册并托管在 Wordpress 上。威胁行为者可能利用了一个漏洞，并可能在 /zebra/nmili-wabmall.php 的服务器上设置了后门。

‍

‍

建议

• • 教育员工如何识别和报告网络钓鱼运动，重点介绍通用网络钓鱼攻击中使用的策略。
• • 发起D2C宣传运动，以教育客户对通用网络钓鱼攻击的风险以及保持警惕的重要性。
• • 实施网络钓鱼模拟计划，以定期测试员工识别和响应网络钓鱼尝试的能力。
• • 建立一个清晰的程序来报告可疑的网络钓鱼攻击，以确保员工知道该与谁联系以及如何提供相关信息。

‍

参考

• • *情报来源和信息可靠性-Wikipedia
• • ＃交通信号灯协议-Wikipedia
• •   其他来源

‍