我们发现了一个带有HTML附件的新金融垃圾邮件广告系列,它利用Google的公共DNS解析程序来检索嵌入在域的TXT记录中的JavaScript命令。然后,这些命令将用户的浏览器重定向到激进的交易广告站点,该站点已被报告为骗局。
根据发现此活动的MyOnlineSecurity.com,它针对的是英国人,相关的IP地址以前曾被Necurs僵尸网络使用过。
垃圾邮件活动
这些垃圾邮件的主题行为“Delivery [number]”,例如“Delivery 0802”,并将声明附近最近购买的发票。此附件是一个名为“invoic-B075.html”的HTML文件。
诈骗电子邮件
打开这些HTML附件后,它会将英国用户重定向到URL https://appteslerapp.com/上报告的 Tesler 2交易诈骗。此页面指出,您可以通过测试软件5分钟“每小时赚取237美元”。
诈骗登陆页面
英国以外的用户将显示空白页面或显示加载消息的页面。
使用DNS TXT记录重定向用户
虽然重要的是要知道一个骗局以避免它,但此活动的有趣部分是攻击者如何使用DNS TXT记录告诉HTML附件用户应该重定向到哪个页面。
查看HTML附件的源代码时,我们可以看到混淆的JavaScript脚本。此JavaScript由https://accounts.google.com/o/oauth2/revoke?callback=ccc()请求触发,该请求将失败,并导致恶意脚本的ccc()函数被触发。
HTML附件源
从上图中可以看出,此脚本包含base64编码的URL。
var v = window.atob("aHR0cHM6Ly9kbnMuZ29vZ2xlLmNvbS9yZXNvbHZlP25hbWU9ZmV0Y2gudnhwYXB1Yi5vdXJtYXpkY29tcGFueS5uZXQmdHlwZT1UWFQ=");
解码后,此字符串是Google针对特定域的公共DNS解析的URL。例如,上面的字符串解码为https://dns.google.com/resolve?name=fetch.vxpapub.ourmazdcompany.net&type=TXT。
附件的脚本将使用此URL来检索关联域的TXT记录。
TXT记录是可用于存储文本数据的DNS条目。此字段通常用于SPF或DMARC记录,但可用于托管任何类型的文本内容。
使用Google DNS解析器的好处是信息将以JSON形式返回,这使恶意脚本可以轻松提取所需的数据。
在这种特殊情况下,脚本将提取TXT记录中找到的数据,其中包含window.location.replace JavaScript命令。然后将此命令附加到打开的HTML页面,这将导致浏览器重定向到垃圾页面。
{
"Status":0,
"TC":false,
"RD":true,
"RA":true,
"AD":false,
"CD":false,
"Question":[
{
"name":"fetch.vxpapub.ourmazdcompany.net.",
"type":16
}
],
"Answer":[
{
"name":"fetch.vxpapub.ourmazdcompany.net.",
"type":16,
"TTL":119,
"data":""window.location.replace("http://www.92458bfg36abp.euxjouernui.icu/52388.html");""
}
],
"Comment":"Response from ns1.firstdnshoster.com.(104.193.252.177)."
}
每次刷新dns.google.com网址时,都会给出不同的重定向网址。
通过查询域的TXT记录来确定用户应该重定向到哪个页面,以允许攻击者轻松切换活动。例如,如果一个广告系列无效,他们可以轻松将其切换为可能会安装恶意软件的另一个广告系列。
与往常一样,请注意包含伪装成发票的附件的电子邮件。在大多数情况下,除非您知道是谁发送了这些内容,否则它们将是欺骗或恶意文档,会感染您的恶意软件。
原文始发于微信公众号(红数位):攻击者通过DNS TXT记录控制的新垃圾邮件活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论