AhnLab安全紧急响应中心(ASEC)最近确认,存在大量伪装成 PDF 文档查看器屏幕的网络钓鱼脚本文件通过电子邮件附件传播的情况。部分已确认的文件名如下,使用了采购订单(PO)/订单/收据/订单等关键字。
New order_20230831.html
Salbo_PO_20230823.pdf.html
WoonggiOrder-230731.pdf.html
PO_BG20231608-019.html
○○○ Pharma.pdf.html
DH○_BILL_LADING_DOCUMENT_RECEIPT.html
_○○○화장품_으로부터 발주서가 발송됐습니다_.msg (이메일) BL_148200078498.html
En○○○ Purchase Order.html
Sung○○ BioX_New PO.pdf.html如下图1所示,以文档内容模糊后的图像作为背景,执行附加的HTML文件时,您可以看到诱导短语“使用您的电子邮件密码登录以查看文档”。在密码输入栏的下方,还写有“如果密码错误,则无法访问该文件”的字样,并且做得貌似是真正的PDF文档,所以需要用户特别注意。
图 1. 执行附件时确认的登录诱导屏幕
考虑到尝试登录时根据密码输入次数显示的短语是分开的,可以看出该文件的创建相对精心,以欺骗用户。根据在密码字段中未输入任何内容而单击登录按钮的情况以及输入值后单击登录按钮的次数(1 至 3 次)来划分案例。如果您在未输入值的情况下按登录按钮,则会出现“无法找到匹配的登录信息”的消息,如果在输入值后按一次登录按钮,则会出现“请输入正确的密码”。如果按 和 两次,“输入的邮件密码不正确。” 指导文本已确认。
图 2. 根据密码输入次数(红色字母)显示不同的短语
值得注意的是,当你尝试登录3次时,却连接到了一个国内ERP公司对外公开提供的促销PDF下载网站。除了相关站点之外,还识别出一个重定向到存在无恶意功能的正常图像文件的站点(图 4)的脚本。
图 3. 屏幕重定向到向外界开放的普通站点(普通 PDF)
图 4. 屏幕重定向到上传诱饵图像的站点
图5. HTML代码根据登录次数分为各种情况
在上面的图 5. 脚本代码中,#password__empty(当尝试使用空字段登录时)/#password__in Correct(对于一次登录尝试)/#password__in Correct1(对于两次登录尝试),屏幕上显示的文本根据登录尝试次数 可以看到区别,如果点击事件发生3次,还可以使用window.location.href参数检查移动到普通PDF文件所在URL的内容。(红框)
图6.通过Telegram泄露用户信息的sendTeleMsg函数
消息可以通过 Telegram 发送,所需元素为 Bot Token 和 Chat ID。sendTeleMsg函数如图6所示。有一个函数将接收邮件的用户的电子邮件地址、用户输入的密码以及用户的IP地址通过电报 API.. 在IP对象的情况下,由于使用开源(json.geoiplookup.io),因此不仅可以获得IP,还可以获得ISP信息和包括纬度/经度的区域信息。(图 7)
图7. 通过geoiplookup.io查询的用户信息
由于 Telegram 的已知优势、匿名性和加密逻辑,攻击者被认为利用它进行网络钓鱼攻击。此外,与一旦识别出恶意域就可以阻止的普通域不同,它利用正常应用程序的 API 似乎可以绕过防病毒产品的检测。过去,利用 Telegram API 泄露用户账户的案例经常被证实。不过可以说,它是为了更加合理地欺骗用户而设计的,包括在代码中使用对外开放的正常网站。用户应注意不要在来源不明的电子邮件附件中输入帐户信息。
[文件诊断]
Phishing/HTML.SendTelegram.S2342 (2023.08.21.02)
Phishing/HTML.SendTelegram.S2346 (2023.08.30.03)
Phishing/HTML.Generic.SC192009 (2023.09.01.00等)[IOC]
94ebd0b12c95f5072561676985b1dbe5转载来源:https://asec.ahnlab.com/ko/56551/
图片来源网络侵权可联系删除
