记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

BEC攻击花招不断,开始使用HTML附件进行网络钓鱼了

2017-08-01 06:50

一般而言,BEC(企业电子邮件入侵)攻击活动中,传统的方式是使用键盘记录程序从目标机器上窃取用户的账号信息,然后将一个可执行文件作为邮件附件进行钓鱼,这种套路对很多用户而言都免疫了,大多数用户轻易不会点击它们(虽然也不能排除点击的可能),于此同时,目前的反垃圾邮件规则一般也会将这些邮件标记为危险邮件。

最近,我们发现一种新的入侵方式,钓鱼邮件中的附件不再是可执行文件了,而是换成了HTML页面。

图1:钓鱼邮件中采用了HTML页面作为附件

打开附件,启动浏览器,可能会看到以下内容的页面:

图2:HTML附件的钓鱼页面

页面中要求用户先输入他们的Email账号的用户名和密码,然后才能查看文档文件。为了诱骗用户输入电子邮件帐户,攻击者添加了来自Gmail、Outlook和雅虎邮件等流行电子邮件提供商的图片。

当受害者输入电子邮件的用户名/密码并提交表单时,账号凭据将被发送到由攻击者配置的PHP脚本。通常,此脚本被配置为将凭据发送给攻击者控制的电子邮件帐户。(在家躺着,等着鱼儿上钩)

图3:HTML附件的源代码:POST命令请求部分

检查HTML附件的源代码,发现它可能是指向尼日利亚,因为谷歌链接被设置为该国家的版本。

图4:URL中包含的Google域名

考虑到这个样本是在尼日利亚的一个流行论坛Nairaland上发现的,这就更有意义了。Nairaland论坛上包含了各种欺诈页面的广告。卖家为不同的电子邮件服务厂商提供不同的诈骗页面,涵盖了163 Mail、 Gmail、Hotmail 和Yahoo Mail。

图5:提供电子邮件服务的欺诈页面的站点(截图)

需要注意的是,除非邮件附件的HTML文件被验证为钓鱼页面,否则该HTML页面不会立即造成威胁。

相比与键盘记录程序,钓鱼页面的优点有:

  • 一个钓鱼页面很容易地编码并部署,不像一个键盘记录程序,还需要一定的编码知识;
  • 一个钓鱼页面能够在任何平台上运行,只需要一个浏览器,不像键盘记录程序,会受编码者技术能力的影响,跨平台运行比较困难。

但是钓鱼页面也有不足之处,那就是它需要从受害者那里收获账号密码信息,用户需要在钓鱼页面上输入凭据,并提交表单发送请求。而一个键盘记录程序,只需要被执行,便可以在后台默默运行。

统计分析:HTML附件

为了获得更多的了解,我们通过智能防护网络收集了我们产品的反馈信息。从2016年7月1日到2017年6月30日,我们共计发现了14867个记录和6664个独特的哈希值。

下图6显示可疑事件数量的统计结果:

图6:BEC相关的网络钓鱼攻击的数量(按月)

下图7中展示了对上述事件发生地点的统计结果:

图7:BEC相关的网络钓鱼攻击的位置(国家)

下图8中展示了这些附件中使用到的关键词统计结果:

图8:BEC相关的网络钓鱼攻击的关键词

IOCs

样本的SHA256 哈希值:

  • 1b369df9ea0f75b5d40aa60c649f12d174e28f1177a473775d2d5454e4ca131c
  • ac5f29a25e918691f4949587290e9ef6ca4dae1398d3e4a1e5fe69687a67eab0
知识来源: www.mottoin.com/104438.html

阅读:108293 | 评论:0 | 标签:技术控

想收藏或者和大家分享这篇好文章→复制链接地址

“BEC攻击花招不断,开始使用HTML附件进行网络钓鱼了”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词