FireEye电子邮件安全防护方案最近检测到了各种钓鱼攻击,主要是在美洲和欧洲,通过感染的域名或坏域名使用源代码混淆。这些域名伪装成真实的网站并窃取了信用卡数据等个人信息。然后,这些窃取的信息被共享给跨平台,基于云的即时消息传递应用程序。
在繁忙的假期期间,物流交付量激增,这篇文章重点介绍了涉及伪造DHL跟踪页面的网络钓鱼活动。尽管针对物流服务用户的网络钓鱼攻击并不新鲜,但这些示例中使用的技术比现成的网络钓鱼工具包中的技术更为复杂。
该活动中使用的基于WOFF的替代密码,特定于定位的目标以及各种逃逸技术,我们都将在此博客中进行阐述。
攻击流程…
攻击始于模仿DHL的电子邮件,如图1所示。该电子邮件试图欺骗收件人点击链接,这会将他们带到伪造的DHL网站。在图2中,我们可以看到伪造的页面要求提供信用卡详细信息,如果提交了信用卡详细信息,则将为用户提供通用响应,而在后台将信用卡数据与攻击者共享。
图1:DHL网络钓鱼尝试
图2:模仿DHL跟踪的虚假网站
此DHL网络钓鱼活动使用一种罕见的技术来混淆其源页面。页面源包含正确的字符串,有效的标签和适当的格式,但是包含编码的文本,这些文本若未在加载页面之前进行解码的话将呈现出乱码,如图3所示。通常,对此类文本进行解码是通过在代码中包含脚本函数来完成的 。但是在这个案例中,脚本中并不包含解码功能。
图3:页面源上的编码文本片段
解码由Web开放字体格式(WOFF)的字体文件完成,该文件在将页面加载到浏览器中时发生,并且在页面内容本身中不可见。图4显示了替换密码方法和WOFF字体文件。攻击者这样做是为了逃避安全厂商的检测。许多安全厂商使用基于静态或正则表达式签名的规则,因此这种方法将绕过那些简单的规则。
图4:WOFF替换密码
加载用于解码文本的自定义字体是在层叠样式表(CSS)中完成的。由于JavaScript函数通常用于加密和解密HTML文本,因此这种技术很少见。
图5:用于加载WOFF字体文件的CSS文件
图5显示了用于加载WOFF字体文件的CSS文件。我们还看到了相同的CSS文件style.css,位于以下域中:
-
hxxps://www.lifepointecc [。] com / wp-content / sinin / style.css
-
hxxps:// candyman-shop [。] com / auth / DHL_HOME / style.css
-
hxxps://mail.rsi-insure [。] com / vendor / ship / dhexpress / style.css
-
hxxps://www.scriptarticle [。] com / thro / HOME / style.css
这些看起来合法的域名目前尚未托管任何钓鱼网站。相反,它们似乎是攻击者可以在其网络钓鱼活动中使用的存储库。过去,我们曾看到过针对银行部门的类似的网络钓鱼攻击,但这对于物流网站来说是新的。
值得注意的技术…
+
本土化
钓鱼页面根据目标用户的区域显示本地语言。本地化代码(图6)支持在欧洲和美洲使用的主要语言,例如西班牙语,英语和葡萄牙语。
图6:本地化代码
后端包含每种受支持语言的PHP资源文件(图7),这些资源文件是根据用户的IP地址位置动态获取的。
图7:语言资源文件
+
规避检测
该活动采用了多种技术来规避检测。如果请求来自某些被阻止的IP地址,则该页面将不提供钓鱼页面。在以下情况下,后端代码(图8)为用户提供了“ HTTP / 1.1 403 Forbidden”响应标头:
-
IP被查看过五次(AntiBomb_User func)
-
IP主机解析为其避免使用的主机名列表(“ google”,“ Altavista”,“以色列”,“ M247”,“梭子鱼”,“ niw.com.au”等)(AntiBomb_WordBoot函数)
-
IP位于其自身的本地阻止列表csv(工具包中的x.csv)中(AntiBomb_Boot func)
-
IP已经看到过3次POSTING(AntiBomb_Block func)
图8:后端规避代码
在查看被阻止主机的列表之后,我们可以推断出攻击者正在尝试阻止Web爬网程序。
+
数据窃取
网络钓鱼活动背后的攻击者试图窃取凭据、信用卡数据和其他敏感信息。窃取的数据将发送到攻击者控制的电子邮件地址和Telegram频道。我们发现了一个Telegram频道,该频道使用图9所示的Telegram Bot API发送数据。
图9:聊天记录
虽然使用php mail()函数发送被盗的凭证非常普遍,但是近来,已在使用加密的即时消息传递应用程序(例如Telegram)将钓鱼信息发送回命令和控制服务器。
我们能够访问由攻击者控制的Telegram 频道之一,如图10所示。聊天中发送的敏感信息包括IP地址和信用卡数据。
图3:页面源上的编码文本片段
结论
感染指标(IOC)
利用FAUDE(FireEye高级URL检测引擎)的FireEye电子邮件安全保护了客户免受此类网络钓鱼威胁的侵害。与依赖于网络钓鱼URL内容的静态检查的传统反网络钓鱼技术不同,FAUDE使用多个人工智能(AI)和机器学习(ML)引擎来更有效地阻止这些攻击。
从2020年12月到发布之时,我们的FAUDE检测引擎看到了100多个唯一的URL,这些URL托管DHL网络钓鱼页面并带有模糊的源代码,其中包括:
-
hxxps:// bit [。] ly / 2KJ03RH
-
hxxps:// greencannabisstore [。] com / 0258 / redirect-new.php
-
hxxps:// directcallsolutions [。] co [。] za / CONTACT / DHL_HOME /
-
hxxps:// danapluss [。] com / wp-admin / dhl / home /
-
hxxp://r.cloudcyberlink [。] digital / <路径>(使用相同域的多个路径)
电子邮件地址
-
medmox2k @ yandex [。] com
-
spammer@yandex [。] com
-
cameleonanas2 @ gmail [。] com
Telegram用户
-
Sa
-
@ cameleon9
style.css
-
MD5:83b9653d14c8f7fb95d6ed6a4a3f18eb)
-
SHA256:D79ec35dc8277aff48adaf9df3ddd5b3e18ac7013e8c374510624ae37cdfba31
字体-woff2
-
MD5:b051d61b693c76f7a6a5f639177fb820
-
SHA-256:5dd216ad75ced5dd6acfb48d1ae11ba66fb373c26da7fc5efbdad9fd1c14f6e3
域
-
Pradosdemojanda [。] com
-
global-general-trackks.supercarhiredubai [。] com
-
tracking-dhi.company
-
Tapolarivercamp [。] com
-
Rosariumvigil [。] com
-
Mydhlexpert [。] com
-
Autorepairbyfradel [。] com
网址
-
hxxps:// wantirnaosteo [。] com [。] au / logon / home / MARKET / F004f19441 / 11644210b.php
-
hxxps:// ekartenerji [。] com [。] tr / wp-admin / images / dk / DHL / home.php
-
hxxps:// aksharapratishthan [。] org / admin / imagess / F004f19441 / sms1.php
-
hxxps:// royalgateedu [。] com / wp-content / plugins / elementor / includes / libraries / infos / package / F004f19441 / 00951124a.php
-
hxxps:// vandahering [。] com [。] br / htacess
-
hxxps:// hkagc [。] com / man / age / F004f19441 / 11644210b.php
-
hxxps:// fiquefitnes
展开收缩comsaude [。] com / .well-known / MARKET / MARKET / F004f19441 / 11644210b.php -
hxxps:// juneispearlmonth [。] com /-// 15454874518741212 / dhl-tracking / F004f19441 / 00951124a.php
-
hxxps://www.instantcopywritingscript [。] com / blog / wp-content / 22 / DHL / MARKET
-
hxxps:// isss [。] sjs [。] org [。] hk / wp-admin / includes / F004f19441 / 11644210b.php
-
hxxps://www.concordceramic [。] com / fr / frais / F004f19441 / 11644210b.php
-
hxxps:// infomediaoutlet [。] com / oldsite / wp-content / uploads / 2017/02 / MARKET /
-
hxxps:// wema-wicie [。] pl / dh / l / en / MARKET
-
hxxps://www.grupoindustrialsp [。] com / DHL / MARKET /
-
hxxps:// marrecodegoias [。] com [。] br / wp-snapshots / activat / MARKET / F004f19441 / 11644210b.php
-
hxxps:// villaluna [。] de / wp-content / info / MARKET / F004f19441 / 11644210b.php
-
hxxp:// sandur [。] dk / wp-content / upgrade /-// MARKET /
-
hxxps:// chistimvse [。] com / es / dhl / MARKET /
-
hxxps:// detmayviet [。] com / wp-includes / widgets /-/ MARKET / F004f19441 / 11644210b.php
-
hxxps:// dartebreakfast [。] com / wp-content / plugins / dhl-espress / MARKET /
-
hxxps:// genesisdistributors [。] com /-/ Tracking / dhl / Tracking / dhl-tracking / F004f19441 / 00951124a.php
-
hxxps://www.goldstartechs [。] com / wp-admin / js / widgets / 102 / F004f19441 / 11644210b.php
-
hxxps:// universalpublicschooltalwandisabo [。] com / DHL
-
hxxps:// intranet [。] prorim [。] org [。] br / info / MARKET / F004f19441 / 11644210b.php
-
hxxps:// administrativos [。] cl / mail.php
-
hxxps:// nataliadurandpsicologa [。] com [。] br / upgrade / MARKET / F004f19441 / 11644210b.php
-
hxxps:// tanaxinvest [。] com / zh / dhl / MARKET /
-
hxxps:// deepbluedivecenter [。] com / clear / item /
-
hxxps:// keystolivingafulfilledlife [。] com / wp-admin / includes / daspoe99i3mdef / DOCUNTRITING
-
hxxps:// juneispearlmonth [。] com /-// 15454874518741212 / dhl-tracking / F004f19441 / 00951124a.php
本文始发于微信公众号(安世加):技术干货 | 网络钓鱼活动利用WOFF混淆和Telegram频道进行通信
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论