利用SEO优化的Tor浏览器钓鱼

admin 2025年6月7日13:13:10评论0 views字数 1053阅读3分30秒阅读模式

太长不看版

攻击者利用SEO优化的Tor浏览器钓鱼,利用了超级解霸的白利用DLL劫持技术进行防御规避。下载时注意域名~注意辨别相似度极高的钓鱼域名

一、背景

在bing搜索“tor browser”时出现一个钓鱼页面

利用SEO优化的Tor浏览器钓鱼

结果发现解压出现CRC错误,正常来说官方文件不应该出现这样的错误,感觉有点不对劲..

利用SEO优化的Tor浏览器钓鱼

再看看解压出来的文件,一个exe文件一个莫名其妙的文件。

利用SEO优化的Tor浏览器钓鱼

二、简单分析下样本

记事本打开“23102024“这个文件。这开头就是非常明显的PE头了,这很不对劲了。。

利用SEO优化的Tor浏览器钓鱼

直接丢某沙箱看看,全绿,倒也意料之中了…因为这个文件是需要操作的安装包,沙箱无法触发行为。

利用SEO优化的Tor浏览器钓鱼

前面已经判断过了23102024是个PE格式的文件。用DIE检测下,确实是个DLL。

利用SEO优化的Tor浏览器钓鱼

改下后缀看,还是个有签名的文件,看来主要的恶意代码在这个exe文件中。

利用SEO优化的Tor浏览器钓鱼

2.1 安装执行

沙箱指望不上了,丢自己的虚拟机跑下,下面是执行页面展示的内容。

利用SEO优化的Tor浏览器钓鱼

利用SEO优化的Tor浏览器钓鱼

利用SEO优化的Tor浏览器钓鱼

安装过程用proncessmonnitor看下进程树,发现cmd执行了命令,这个脚本里是将释放的dll删除了,不过把或者dll丢进沙箱看也不是什么恶意的。

利用SEO优化的Tor浏览器钓鱼

安装完之后,看桌面上的lnk文件指向的是一个可执行文件。

利用SEO优化的Tor浏览器钓鱼

看起来这个文件没什么问题,看来有可能是白利用了。

利用SEO优化的Tor浏览器钓鱼

2.2 白利用的分析

CVftshadwier文件除了同目录下的sqlite.dll文件利用之外,就是导入了crt.dll的函数。

利用SEO优化的Tor浏览器钓鱼

接下来挨个看看这些引入的函数内容,结果发现除了序号3中是代码外,其余都是返回MessageBox的形式。

利用SEO优化的Tor浏览器钓鱼

利用SEO优化的Tor浏览器钓鱼

下面是crt.dll序号3的函数伪代码。不过到这基本也能判断是个恶意的代码了。

利用SEO优化的Tor浏览器钓鱼

直接丢沙箱看看,这个文件倒是可以检测出来。

利用SEO优化的Tor浏览器钓鱼

2.3 下载链接情报

威胁情报查查,已经被威胁情报标记了。

利用SEO优化的Tor浏览器钓鱼       

利用SEO优化的Tor浏览器钓鱼

三、钓鱼网页分析

点进主页,可以说非常像

利用SEO优化的Tor浏览器钓鱼

但是这块有些不和谐的地方,选择语言菜单栏被遮住。

利用SEO优化的Tor浏览器钓鱼

下图是官网

利用SEO优化的Tor浏览器钓鱼

其次再看下载页面,分析前端代码发现这个钓鱼页面。“下载Windows“的超链接与签名超链接都是指向钓鱼文件(zip格式)的URL。(这么着急让人下载文件是吧

而正常文件下载时是分别指向exe文件和asc文件。

利用SEO优化的Tor浏览器钓鱼

除了下载页面,其余页面都指向的是官方的URL,所以隐蔽性也非常高。

利用SEO优化的Tor浏览器钓鱼

四、总结

攻击者基于SEO优化的方式搞了一个跟torproject非常相似的域名进行钓鱼,相对于其他纯静态无法交互的页面,迷惑性非常高(甚至我差点都中招了,从威胁情报看到域名的注册者是中文名,或许是来自黑灰产的攻击吧

利用SEO优化的Tor浏览器钓鱼

原文始发于微信公众号(OSINT情报分析师):利用SEO优化的Tor浏览器钓鱼

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日13:13:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用SEO优化的Tor浏览器钓鱼https://cn-sec.com/archives/3792757.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息