欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

聚焦凭据窃取:针对房地产代理商的新型网络钓鱼活动分析

来源:本站整理 作者:佚名 时间:2019-03-15 TAG: 我要投稿

近一段时间,持续有攻击者滥用多个房地产特许经营品牌,针对房地产经纪人发起网络钓鱼活动,旨在获取他们的电子邮件凭据。尽管这并非是首次以房地产行业为目标发动攻击,但本文重点描述了攻击者所使用的深入战术、技术和流程(TTP)。作为防御者,可以使用PDF诱饵和凭据收集网站中使用的TTP和图像作为态势感知的情报,以抵御此类攻击。
一、概述
针对房地产行业,进行凭据窃取或电子汇款诈骗并不是新的攻击方式,因为在2018年,在FBI的公众服务报告中,强调了此类活动的增长趋势:
“根据受害者投诉的数据,目前针对房地产行业的BEC/EAC诈骗案件正在上升。从2015年到2017年,上报的BEC/EAC受害者数量增长1100%,上报的经济损失数量增加近2200%。根据受害者的报告,最常见的诈骗方式就是攻击者伪装成一个房地产交易参与者,发送或接收具有欺骗性内容的电子邮件,并指示收件人将付款方式或付款位置更改为诈骗者的账户。”
尽管在FBI的公告中,展现了攻击活动的趋势,这是衡量持续威胁的一个很好地指标,但其中并不包括详细的TTP或可用于检测或缓解的示例。此外,许多博客文章中确实提供了一些房地产网络钓鱼的示例,但这些文章又通常缺少攻击者的整体TTP以及具体针对房地产经纪人的目标。
二、鱼叉式钓鱼附件和恶意链接
攻击者使用类似的图像和语言,以恶意PDF附件的方式实现鱼叉式钓鱼。在PDF附件中,包含重定向到凭据收集网站的嵌入式链接。关于鱼叉式钓鱼附件和鱼叉式钓鱼链接技术,在MITRE ATT&CK中已经给出了准确的定义:
T1193 – 鱼叉式钓鱼附件是鱼叉式钓鱼的特定变体。鱼叉式钓鱼附件不同于其他形式的鱼叉式钓鱼,因为它利用了附加到电子邮件的恶意软件。所有形式的鱼叉式网络钓鱼,都是以电子方式针对特定个人、特定公司或特定行业进行的社会工程学攻击。在这种情况下,攻击者会将文件附加到鱼叉式网络钓鱼的电子邮件中,并且通常依靠用户主动执行来获取运行的权限。
T1192 – 带有链接的鱼叉式网页钓鱼是鱼叉式钓鱼的特定变体。它与其他形式的鱼叉式网络钓鱼的不同之处在于,它使用链接来下载电子邮件中包含的恶意软件,而不是将恶意文件附加到电子邮件之中,从而避免防御产品或防御机制对电子邮件的检测。
在PDF的诱饵中,包含房地产代理商的LOGO、“需要完成验证过程”的语言表述、带有“查看列表中的报价”描述文本的嵌入式链接,以及由WeTransfer(云文件传输服务)加密的消息。
PDF诱饵示例1(品牌信息已隐去):

cash purchase offer copy.pdf
e8359304b3cb5938f6845b1337eb221236a6bf5a1ca9e8ed7d4d376dae6af8d2
PDF诱饵示例2(品牌信息已隐去):

home_offer-1jpg.pdf
c1d96b9e5acfead1f1defdc275afb0e2ce1b5217ea95540ee28aa348848baa50
PDF诱饵的元数据:
根据我们对PDF元数据(Metadata)的分析,发现攻击者利用了在线PDF编辑器RAD PDF来创建PDF诱饵。PDF诱饵中包含以下元数据:
制作商:RAD PDF 3.7.5.0 — http://www.radpdf.com
创建工具:RAD PDF
创建者:RAD PDF
上述元数据,可以用于构建类似于YARA的检测签名。
PDF嵌入式链接:
PDF诱饵使用GoDaddy URL Shortener短网址服务x[.]co来对目标URL地址进行伪装。攻击者尽量选取包含与房地产相关联词语的短网址,例如“home”。URI路径“/login/inav=iNavLnkLog/”针对嵌入式链接也是一致的。
PDF诱饵示例3:
hxxp://x[.]co/jumpinhome
hxxps://mykonosfishing[.]gr/wp/login/inav=iNavLnkLog/
PDF诱饵示例4:hxxp://x[.]co/homesam
hxxs://www[.]atcbearings[.]com/wp-content/plugins/add-to-any/samhome/login/inav=iNavLnkLog/
三、凭据收集网站
作为拦截合法电子邮件凭证的方法,在这些伪造的凭据收集网站中,都使用与原始网站相同的背景图像和整体布局,从而增强迷惑性。网站之间的相同之处表明,凭据收集网站是共享网络钓鱼工具中的一部分,通过简单设置网站内容后,即可轻松伪装成目标站点。

当潜在受害者选择电子邮件服务商时,会弹出电子邮件和密码的提示。但是,如果用户选择Google电子邮件服务商时,恶意页面上还会添加一个电话号码的字段。攻击者为什么要收集电话号码,我们不得而知,但电话信息可能用于绕过基于短信的双因素身份验证,或者允许攻击者联系房地产代理商,从而继续社会工程学的攻击。

使用PX Intelligence平台,在提交URL时,系统会自动编译域名信息,并且根据使用的图像,对伪装的品牌进行分类。

参考:http://img.pxintelligence.com/snapshots/94092/
参考:http://img.pxintelligence.com/snapshots/96416/
3.1 网站的漏洞利用
攻击者正在使用合法网站来托管凭据收集网站。这些合法网站普遍都使用了内容管理系统WordPress,并且凭据获取的内容已经进行了本地化,位于目录“plugins/add-to-any”中。这可能表明,该WordPress插件被利用来托管恶意内容。
攻击者使用了PHP WebShell WSO的4.2.6版本,并进行漏洞利用,这是在可预测的文件路径中找到的。WebShell的定义如下:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载