快捷搜索:      国际  共赚  理财  歌姬  包贝尔  无关

usdt自动充值(caibao.it):最新的Office 365网络钓鱼流动

在已往的几年中,Office 365在企业部门的使用率显著增添。不外,它的盛行也引起了网络罪犯的注重,因此他们提议钓鱼流动专门攻击这个平台。由于90%的网络攻击都是从网络钓鱼最先的,以是Office 365对于那些试图逃避不停引入的平安解决方案的威胁者来说是一个很有吸引力的攻击目的。

最近,一场看似简朴的Office 365网络钓鱼流动引起了我们的注重。攻击者滥用Adobe的广告重定向机制,使用一个三星域名将受害者重定向到一个O365主题的钓鱼网站。通过剖析发现,黑客们正是行使平安软件不会阻止他们进入像三星这样信誉优越的域名这一事实。

为了扩大攻击局限,攻击者还侵入了几个网站,注入了一个模拟Adobe重定向服务提供的相同机制的剧本。进一步的观察显示,攻击背后的参与者使用了一些其他有趣的技巧来隐藏钓鱼工具包,并制止在攻击的每个阶段被发现。这份讲述将形貌我们对Office 365钓鱼流动的发现,该流动使用受信托的服务来提议新的攻击。

破绽行使

Adobe和三星在破绽行使中都没有受到攻击,三星,Adobe的广告服务可以用来治理不一定属于公司营销流动的广告流动。

重定向机制将用户重定向到他们刚刚单击的URL中指定的目的地,例如,这允许广告代理在将用户重定向到一个广告页面之前,通过纪录每次乐成的接见来权衡和监控正在举行的广告流动。

攻击流程

2020年4月上旬,我们检测到网络钓鱼流动,该网络钓鱼流动向受害者发送了“丢失的语音新闻”电子邮件。这些攻击中约有43%是针对欧洲公司的,其余的则集中在亚洲和中东。电子邮件提醒用户点击一个按钮,据称该按钮会将他们重定向到其Office 365帐户。这些电子邮件使用一些异常基本的自定义功效,例如带有目的域名的主题行以及电子邮件正文中包罗的用户名。只管顶部显示“来自受信托服务器的新闻”通知,但保持警惕的用户仍会注重到一些不准确之处。以下是其中一封钓鱼邮件的例子:

Office 365语音邮件网络钓鱼电子邮件

在受害者点击了这个按钮后,他们被重定向到一个伪装成Office 365登录页面的钓鱼页面。在后台,这种重定向包罗两个阶段:第一阶段滥用了正当域名上现有的重定向方案(好比samsung [.]ca),第二阶段将用户重定向到一个受攻击的WordPress网站。

网络钓鱼攻击方案

大多数电子邮件来自多个天生的地址,这些地址属于英国牛津大学差别部门的正当子域。

[email protected]x.ac.uk

在这个攻击中使用的一个自动天生的电子邮件地址的例子。

邮件题目显示,攻击者找到了一种方式来滥用牛津的一个SMTP服务器。邮件源自NordVPN IP地址194.35.233.10,然后被发送到Oxford SMTP服务器和Oxford中继服务器,详细历程如下图所示:

使用正当的Oxford SMTP服务器允许攻击者通过对发送者域的信誉检查。此外,没有必要为了发送钓鱼邮件而损坏现实的电子邮件帐户,由于他们可以天生他们想要的电子邮件地址。

第一阶段:滥用三星电子邮件重定向

使用Adobe Campaign开放重定向的手艺最初于2019年9月在Adobe自己的域名上被发现。在已往的几个月里,它被普遍用于网络钓鱼。为了逃避检测,攻击者滥用开放和著名的Adobe流动服务器,将潜在受害者重定向到他们自己的钓鱼网站。这意味着,钓鱼邮件中嵌入的链接是可信域的一部门,它会在不知情的情况下将受害者重定向到钓鱼网站。

在本文的示例下,Adobe流动服务器位于加拿大。

http://t.email1.samsung[.]ca/r/?id=ff1b346f,303d531,303d53e&p1=8107023398&p2=8107023398&p3=DM15290&p4=https://compromised.site#[email protected]

操作历程

t.email1.samsung[.]ca是三星位于加拿大电子邮件流动的子域,它托管一个Adobe流动服务器。稀奇设计的URL包罗一个名为p4的参数,它为每个受害者提供差别的重定向目的地。

在我们的案例中,攻击者从一个古老但正当的三星“网络星期一”主题电子邮件流动中获取了现有链接,该流动可以追溯到2018年。通过改变p4参数,他们将受害者重定向到他们控制的域名,而不是原来的http://samsung.com/ca/:

http://t.email1.samsung.ca/r/?id=hf1b346f,303d531,303d53e&p1=8107023398&p2=8107023398&p3=DM15290&p4=http://www.samsung.com/ca/?mkm_rid=8107023398&mkm_mid=DM15290&cid=ca_email_newsletter_holidaycybermonday_20181126_fr-x-x-viewproducts-x-x

通过使用特定的Adobe Campaign链接花样和正当域名,攻击者增添了电子邮件绕过基于信誉、黑名单和URL模式的电子邮件平安解决方案的机遇。

然则,这并不是第一次将基于三星基础架构的Adobe Campaign用作网络钓鱼的中继。据urlscan称,自2020年2月以来,t.info.samsungusa[.]com域已用于与网络钓鱼相关的重定向。

第二阶段:将用户重定向到一个受攻击的WordPress网站

重定向的第二层目的是用于将最终的钓鱼页面与原始电子邮件离隔。在本文的案例中,攻击者使用了几个包罗恶意重定向代码的受攻击的WordPress网站。

引入另一个重定向层使攻击者能够绕过观察电子邮件内链接的平安解决方案。因此,邮件中的URL指向一个WordPress网站,而不是一个可疑的钓鱼页面。

重定向代码,它被添加到受害网站的主页HTML代码,也检查请求的URL是否包罗#符号后面的电子邮件地址。若是知足这个条件,它会将受害者重定向到最终的钓鱼工具包。

在受攻击的WordPress网站上重定向代码

因此,只有在链接中具有电子邮件地址的用户才会被重定向,而直接进入WordPress网站的用户则不会注重到任何更改,这个技巧可以防止网站所有者发现他们的页面被滥用。

更多的重定向

在攻击最先几天后,攻击者将邮件中的URL更改为以下地址:

http://t-email1.ottawashowers[.]ca/r/?id=ff1b346f,303d531,303d53e&p1=8107023398&p2=8107023398&p3=DM15290&p4=https://compromised.site&[email protected]

这一次,受熏染的WordPress网站是ottawashowers[.]ca。攻击者在/r/文件夹中设置了子域名t-email1和重定向剧本,以模拟Adobe Campaign URL。此时,原始三星流动的参数保持稳定。

,

欧博亚洲客户端ALLbet6.com

欢迎进入欧博亚洲客户端(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

可以看出,t-email1.ottawashowers[.]ca表明晰这个攻击的目的

带有受熏染的WordPress网站的网络钓鱼攻击方案,用于首次重定向

在后续的攻击中,攻击者将重定向方式更改为独立于特定域或Adobe Campaign服务器。他们提议攻击并在多个WordPress网站上设置了类似的重定向(要查看完整列表,请接见附录)。

具有差别重定向服务器的攻击时间表

除了更改重定向域之外,攻击者还最先更改URL中的其他(以前是恒定的)参数,同时保留了基本的Adobe URL结构。这些参数用于检查链接的完整性,并制止被基于模式的引擎(不会自动阻止所有Adobe Campaign重定向)检测到。若是在此链接中手动更改了参数,则服务器将返回新闻:AUTH FAILED。

在一个被攻击的WordPress网站上的Opendir包罗了新创建的重定向文件夹r/

网络钓鱼工具

最终的钓鱼工具被放置在受熏染的WordPress网站上,在某些情况下,钓鱼工具被放置在看起来像微软登录页面的网站上。每个受害者都创建了一个单独的虚拟目录,因此每个受害者的最终URL是差别的,纵然在统一台服务器上也是云云。

Microsoft网络钓鱼页面

钓鱼网页的大部门HTML代码是由JavaScript天生的,钓鱼页面被分成多个部门,每个部门都用多字节XOR举行了混淆。例如,HTML页面的

被仿冒网页的一部门

对第一个eval()语句举行解码将展现解码函数,如下所示:

十六进制解码后的第一个eval()语句

这个解码函数从参数中提取已编码的数据(存储在tmp[0]中)和异或密钥(存储在tmp[1]中),并在数据和密钥之间执行异或(在上面的代码中执行循环)。

第二个eval()语句挪用这个解码函数,并用document.write()将最终的HTML写入页面:

十六进制解码后的第二个eval()语句

解码后的HTML代码的

天生的HTML代码意味着所有页面看起来都相同,然则它们具有完全差别的源代码。与混淆一起使用,此方式有助于从平安软件中隐藏代码及其恶意内容。

总结

在此攻击流动中,攻击者在每个阶段使用多种机制绕过平安解决方案。

1. 行使牛津的电子邮件服务器发送垃圾邮件,可以使它们绕过发件人信誉过滤器并使用天生的电子邮件帐户,而不是攻击现实帐户。

2. 邮件中的链接指向三星拥有的一个信誉很高的域名。

3. 一连串的重定向会导致一个完全混淆的钓鱼页面。

在短暂的流动时代,攻击者不停开发和改进了重定向方式,使其不依赖于特定域和Adobe Campaign服务器。

现在,Adobe已经采取了相关措施,以防止黑客通过其服务器对所有客户提议此类攻击。

附录

重定向的服务器:

t.email1.samsung[.]ca/r/
t-email1.ottawashowers[.]ca/r/
t-email1.instantytpresence[.]com/r/
flycloud.co[.]il/r/
cosmos.org[.]in/r/
iyak.org[.]tr/o/
ankit-gupta.co[.]in/r/
istern.co[.]il/r/

托管Office 365网络钓鱼工具包或中心重定向的受攻击WP网站:

junestore[.]club
popskill[.]net
yourhindinews[.]com
mrdigitalduniya[.]com
vrpublicnews[.]com
learndigitalseo[.]com
ghassociates.co[.]in
yournewstv[.]com
codewithjustin[.]com
pretrendy[.]com
dalelaganj[.]com
getfasternews[.]com
bloggingthenews[.]com
wpbasket.co[.]il
acornmagic[.]club
heaccountabilitycollective[.]com
legaltax[.]in
cbcvietnam[.]org
zeriio[.]com
ww.indoxxi[.]pl
espinozaweb[.]net
rumahcendekiaunj[.]com
beatanyinvestment[.]club
activedomain53[.]com
absoluteaesthetics.co[.]uk
tremplinedu[.]com
iamkongu[.]com
www.kwentongnoypi[.]com
本文翻译自:https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/如若转载,请注明原文地址:
发表评论
诚信在线声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: