FireEye Email Security最近遇到了各種釣魚攻擊，它們主要來自美洲和歐洲，使用源代碼混淆受損或錯誤的域名。這些域名偽裝成真實的網(wǎng)站并竊取了信用卡數(shù)據(jù)等個人信息。然后，被竊取的信息被共享給跨平臺、基于云的即時消息傳遞應(yīng)用程序。

在繁忙的假期前夕，交付量激增，這篇文章重點介紹了一個涉及假DHL跟蹤頁面的網(wǎng)絡(luò)釣魚活動。盡管針對航運(yùn)服務(wù)用戶的網(wǎng)絡(luò)釣魚攻擊并不新鮮，但這些示例中使用的技術(shù)比現(xiàn)有的網(wǎng)絡(luò)釣魚工具包中的技術(shù)更為復(fù)雜。

該行動中使用了基于WOFF的替代密碼，針對本地化的目標(biāo)定位以及各種逃避技術(shù)，我們將在此博客中進(jìn)行闡述。

攻擊流程

攻擊從一封模仿DHL的電子郵件開始，如圖1所示。該電子郵件試圖誘使收件人單擊鏈接，這會將他們帶到虛假的DHL網(wǎng)站。在圖2中，我們可以看到偽造的頁面要求提供信用卡詳細(xì)信息，如果提交了信用卡詳細(xì)信息，則將向用戶提供一般響應(yīng)，同時在后臺將信用卡數(shù)據(jù)與攻擊者共享。

圖1：DHL網(wǎng)絡(luò)釣魚嘗試

圖2：模仿DHL跟蹤的虛假網(wǎng)站

此DHL網(wǎng)絡(luò)釣魚活動使用了一種罕見的技術(shù)來混淆其源頁面。頁面源包含正確的字符串、有效的標(biāo)記和格式，但是其所包含編碼的文本將在加載頁面之前呈現(xiàn)出亂碼而無需解碼，如圖3所示。通常，對此類文本進(jìn)行解碼是通過在代碼中包含腳本函數(shù)來完成的。但是在這種情況下，腳本中不包含解碼函數(shù)。

圖3：頁面源中的編碼文本片段

解碼是由一個Web開放字體格式（WOFF）字體文件完成的，該文件在將頁面加載到瀏覽器中時發(fā)生，并且在頁面內(nèi)容本身中不可見。圖4顯示了替換密碼方法和WOFF字體文件。攻擊者這樣做是為了逃避安全廠商的檢測，許多安全廠商使用基于靜態(tài)或regex簽名的規(guī)則，因此此方法將打破那些基于以往的規(guī)則。

圖4：WOFF替換密碼

在層疊樣式表（CSS）中加載這個解碼文本的自定義字體。由于JavaScript函數(shù)通常用于加密和解密HTML文本，因此這種技術(shù)很少見。

圖5：用于加載WOFF字體文件的CSS文件

圖5顯示了用于加載WOFF字體文件的CSS文件。我們還看到了相同的CSS文件style.css，托管在以下域上：

· hxxps：//www.lifepointecc [。] com / wp-content / sinin / style.css

·hxxps：// candyman-shop [。] com / auth / DHL_HOME / style.css

· hxxps：//mail.rsi-insure [。] com / vendor / ship / dhexpress / style.css

·hxxps：//www.scriptarticle [。] com / thro / HOME / style.css

到目前為止，這些看起來合法的域名尚未托管任何釣魚網(wǎng)站。相反，它們似乎是攻擊者可以在其網(wǎng)絡(luò)釣魚活動中使用的存儲庫。過去，我們曾看到過類似的針對銀行業(yè)的網(wǎng)絡(luò)釣魚攻擊，但這對于快遞網(wǎng)站來說是較為稀有的。

重要的技術(shù)

本土化

網(wǎng)上誘騙頁面根據(jù)目標(biāo)用戶的區(qū)域顯示本地語言。本地化代碼（圖6）支持在歐洲和美洲使用的主要語言，例如西班牙語、英語和葡萄牙語。

圖6：本地化代碼

后端包含每種受支持語言的PHP資源文件（圖7），這些資源文件是根據(jù)用戶的IP地址位置動態(tài)獲取的。

圖7：語言資源文件

逃避

該活動采用了多種技術(shù)來逃避檢測。如果請求來自某些被阻止的IP地址，則該頁面將不提供釣魚頁面。在以下情況下，后端代碼（圖8）為用戶提供“ HTTP / 1.1 403 Forbidden”響應(yīng)header：

· IP被查看過五次（AntiBomb_User func）

·IP主機(jī)解析為其禁止使用的主機(jī)名列表（‘google’, ‘Altavista’, ‘Israel’, ‘M247’, ‘barracuda’, ‘niw.com.au’ and more) (AntiBomb_WordBoot func)

· IP位于其自身的本地阻止列表csv（工具包中的x.csv）中（AntiBomb_Boot func）

·IP已經(jīng)發(fā)布過3次帖子（AntiBomb_Block func）

圖8：后端規(guī)避代碼

在查看被阻止主機(jī)的列表之后，我們可以推斷出攻擊者正在嘗試阻止Web爬蟲。

數(shù)據(jù)盜竊

網(wǎng)絡(luò)釣魚活動背后的攻擊者試圖竊取憑證、信用卡數(shù)據(jù)和其他敏感信息。竊取的數(shù)據(jù)將發(fā)送到攻擊者控制的電子郵件地址和電報通道。我們發(fā)現(xiàn)了一個Telegram通道，該通道使用圖9所示的Telegram Bot API發(fā)送數(shù)據(jù)。

圖9：聊天記錄

雖然使用php mail（）函數(shù)發(fā)送被盜的憑證非常普遍，但是在不久的過去，加密的即時消息傳遞應(yīng)用程序（例如Telegram）已被用于將釣魚信息發(fā)送回命令和控制服務(wù)器。

我們能夠訪問由攻擊者控制的電報通道之一，如圖10所示。聊天中發(fā)送的敏感信息包括IP地址和信用卡數(shù)據(jù)。

圖10：信息被盜的電報頻道

結(jié)論

攻擊者（尤其是網(wǎng)絡(luò)釣魚者）一直在尋找逃避安全產(chǎn)品檢測的新方法。模糊處理為攻擊者提供了方便，并使安全供應(yīng)商更難保護(hù)其客戶。

通過使用即時消息傳遞應(yīng)用程序，攻擊者可以實時獲取用戶數(shù)據(jù)，一旦受害者的個人信息遭到破壞，受害者幾乎沒有任何反應(yīng)。

妥協(xié)指標(biāo)（IOC）

FireEye Email Security利用FAUDE（FireEye高級URL檢測引擎）保護(hù)客戶免受此類網(wǎng)絡(luò)釣魚威脅的侵害。與依賴于網(wǎng)絡(luò)釣魚URL內(nèi)容的靜態(tài)檢查的傳統(tǒng)反網(wǎng)絡(luò)釣魚技術(shù)不同，FAUDE使用多個人工智能（AI）和機(jī)器學(xué)習(xí)（ML）引擎來更有效地阻止這些攻擊。

從2020年12月到發(fā)布之時，我們的FAUDE檢測引擎看到了100多個獨特的URL，這些URL托管DHL網(wǎng)絡(luò)釣魚頁面，其中包含模糊的源代碼，包括：

· hxxps：// bit [。] ly / 2KJ03RH

· hxxps：// greencannabisstore [。] com / 0258 / redirect-new.php

· hxxps：// directcallsolutions [。] co [。] za / CONTACT / DHL_HOME /

· hxxps：// danapluss [。] com / wp-admin / dhl / home /

· hxxp：//r.cloudcyberlink [。] digital /

電子郵件地址

medmox2k@yandex[.]com

o.spammer@yandex[.]com

cameleonanas2@gmail[.]com

電報用戶

@Saitama330

@cameleon9

style.css

Md5: 83b9653d14c8f7fb95d6ed6a4a3f18eb)

Sha256: D79ec35dc8277aff48adaf9df3ddd5b3e18ac7013e8c374510624ae37cdfba31

font-woff2

MD5: b051d61b693c76f7a6a5f639177fb820

SHA-256: 5dd216ad75ced5dd6acfb48d1ae11ba66fb373c26da7fc5efbdad9fd1c14f6e3

域

網(wǎng)址

【老表，來學(xué)網(wǎng)絡(luò)安全不咯】

總結(jié)

以上是生活随笔為你收集整理的利用WOFF模糊和电报渠道进行通信的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。