FireEye Email Security最近遇到了各種釣魚攻擊，它們主要來自美洲和歐洲，使用源代碼混淆受損或錯誤的域名。這些域名偽裝成真實的網站并竊取了信用卡數據等個人信息。然后，被竊取的信息被共享給跨平臺、基于云的即時消息傳遞應用程序。

在繁忙的假期前夕，交付量激增，這篇文章重點介紹了一個涉及假DHL跟蹤頁面的網絡釣魚活動。盡管針對航運服務用戶的網絡釣魚攻擊并不新鮮，但這些示例中使用的技術比現有的網絡釣魚工具包中的技術更為復雜。

該行動中使用了基于WOFF的替代密碼，針對本地化的目標定位以及各種逃避技術，我們將在此博客中進行闡述。

攻擊流程

攻擊從一封模仿DHL的電子郵件開始，如圖1所示。該電子郵件試圖誘使收件人單擊鏈接，這會將他們帶到虛假的DHL網站。在圖2中，我們可以看到偽造的頁面要求提供信用卡詳細信息，如果提交了信用卡詳細信息，則將向用戶提供一般響應，同時在后臺將信用卡數據與攻擊者共享。

圖1：DHL網絡釣魚嘗試

圖2：模仿DHL跟蹤的虛假網站

此DHL網絡釣魚活動使用了一種罕見的技術來混淆其源頁面。頁面源包含正確的字符串、有效的標記和格式，但是其所包含編碼的文本將在加載頁面之前呈現出亂碼而無需解碼，如圖3所示。通常，對此類文本進行解碼是通過在代碼中包含腳本函數來完成的。但是在這種情況下，腳本中不包含解碼函數。

圖3：頁面源中的編碼文本片段

解碼是由一個Web開放字體格式（WOFF）字體文件完成的，該文件在將頁面加載到瀏覽器中時發生，并且在頁面內容本身中不可見。圖4顯示了替換密碼方法和WOFF字體文件。攻擊者這樣做是為了逃避安全廠商的檢測，許多安全廠商使用基于靜態或regex簽名的規則，因此此方法將打破那些基于以往的規則。

圖4：WOFF替換密碼

在層疊樣式表（CSS）中加載這個解碼文本的自定義字體。由于JavaScript函數通常用于加密和解密HTML文本，因此這種技術很少見。

圖5：用于加載WOFF字體文件的CSS文件

圖5顯示了用于加載WOFF字體文件的CSS文件。我們還看到了相同的CSS文件style.css，托管在以下域上：

· hxxps：//www.lifepointecc [。] com / wp-content / sinin / style.css

·hxxps：// candyman-shop [。] com / auth / DHL_HOME / style.css

· hxxps：//mail.rsi-insure [。] com / vendor / ship / dhexpress / style.css

·hxxps：//www.scriptarticle [。] com / thro / HOME / style.css

到目前為止，這些看起來合法的域名尚未托管任何釣魚網站。相反，它們似乎是攻擊者可以在其網絡釣魚活動中使用的存儲庫。過去，我們曾看到過類似的針對銀行業的網絡釣魚攻擊，但這對于快遞網站來說是較為稀有的。

重要的技術

本土化

網上誘騙頁面根據目標用戶的區域顯示本地語言。本地化代碼（圖6）支持在歐洲和美洲使用的主要語言，例如西班牙語、英語和葡萄牙語。

圖6：本地化代碼

后端包含每種受支持語言的PHP資源文件（圖7），這些資源文件是根據用戶的IP地址位置動態獲取的。

圖7：語言資源文件

逃避

該活動采用了多種技術來逃避檢測。如果請求來自某些被阻止的IP地址，則該頁面將不提供釣魚頁面。在以下情況下，后端代碼（圖8）為用戶提供“ HTTP / 1.1 403 Forbidden”響應header：

· IP被查看過五次（AntiBomb_User func）

·IP主機解析為其禁止使用的主機名列表（‘google’, ‘Altavista’, ‘Israel’, ‘M247’, ‘barracuda’, ‘niw.com.au’ and more) (AntiBomb_WordBoot func)

· IP位于其自身的本地阻止列表csv（工具包中的x.csv）中（AntiBomb_Boot func）

·IP已經發布過3次帖子（AntiBomb_Block func）

圖8：后端規避代碼

在查看被阻止主機的列表之后，我們可以推斷出攻擊者正在嘗試阻止Web爬蟲。

數據盜竊

網絡釣魚活動背后的攻擊者試圖竊取憑證、信用卡數據和其他敏感信息。竊取的數據將發送到攻擊者控制的電子郵件地址和電報通道。我們發現了一個Telegram通道，該通道使用圖9所示的Telegram Bot API發送數據。

圖9：聊天記錄

雖然使用php mail（）函數發送被盜的憑證非常普遍，但是在不久的過去，加密的即時消息傳遞應用程序（例如Telegram）已被用于將釣魚信息發送回命令和控制服務器。

我們能夠訪問由攻擊者控制的電報通道之一，如圖10所示。聊天中發送的敏感信息包括IP地址和信用卡數據。

圖10：信息被盜的電報頻道

結論

攻擊者（尤其是網絡釣魚者）一直在尋找逃避安全產品檢測的新方法。模糊處理為攻擊者提供了方便，并使安全供應商更難保護其客戶。

通過使用即時消息傳遞應用程序，攻擊者可以實時獲取用戶數據，一旦受害者的個人信息遭到破壞，受害者幾乎沒有任何反應。

妥協指標（IOC）

FireEye Email Security利用FAUDE（FireEye高級URL檢測引擎）保護客戶免受此類網絡釣魚威脅的侵害。與依賴于網絡釣魚URL內容的靜態檢查的傳統反網絡釣魚技術不同，FAUDE使用多個人工智能（AI）和機器學習（ML）引擎來更有效地阻止這些攻擊。

從2020年12月到發布之時，我們的FAUDE檢測引擎看到了100多個獨特的URL，這些URL托管DHL網絡釣魚頁面，其中包含模糊的源代碼，包括：

· hxxps：// bit [。] ly / 2KJ03RH

· hxxps：// greencannabisstore [。] com / 0258 / redirect-new.php

· hxxps：// directcallsolutions [。] co [。] za / CONTACT / DHL_HOME /

· hxxps：// danapluss [。] com / wp-admin / dhl / home /

· hxxp：//r.cloudcyberlink [。] digital /

電子郵件地址

medmox2k@yandex[.]com

o.spammer@yandex[.]com

cameleonanas2@gmail[.]com

電報用戶

@Saitama330

@cameleon9

style.css

Md5: 83b9653d14c8f7fb95d6ed6a4a3f18eb)

Sha256: D79ec35dc8277aff48adaf9df3ddd5b3e18ac7013e8c374510624ae37cdfba31

font-woff2

MD5: b051d61b693c76f7a6a5f639177fb820

SHA-256: 5dd216ad75ced5dd6acfb48d1ae11ba66fb373c26da7fc5efbdad9fd1c14f6e3

域

網址

【老表，來學網絡安全不咯】

總結

以上是生活随笔為你收集整理的利用WOFF模糊和电报渠道进行通信的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。