Cyble 研究與情報實驗室 (CRIL) 的研究人員發現了一個基于二維碼的網絡釣魚活動,該活動使用(yòng)僞裝(zhuāng)成某機構官方文(wén)件的惡意 Word 文(wén)檔。用(yòng)戶被誘騙在身份驗證和認證流程的幌子下提供銀行卡詳細信息和密碼。
基于二維碼的網絡釣魚活動
今年,二維碼釣魚攻擊大幅升級,網絡犯罪分(fēn)子利用(yòng)該技(jì )術竊取個人和财務(wù)信息。威脅行為(wèi)者 (TA) 在辦(bàn)公(gōng)文(wén)檔中(zhōng)嵌入二維碼,并将用(yòng)戶重定向到旨在竊取敏感數據的欺詐網站。
在不斷發展的網絡威脅形勢下,出現了一種新(xīn)的媒介:基于二維碼的網絡釣魚活動。網絡犯罪分(fēn)子越來越多(duō)地将二維碼嵌入惡意文(wén)檔中(zhōng),掃描後會将用(yòng)戶引導至欺詐網站。這種策略在 2024 年顯著增加,這是在 COVID-19 大流行期間開始的趨勢,當時二維碼被廣泛用(yòng)于非接觸式交易和信息共享。
Hoxhunt Challenge強調,2023 年末二維碼網絡釣魚增加了 22%,而 Abnormal Security 的研究表明,89.3% 的此類攻擊旨在竊取憑證。
人們對二維碼的熟悉程度越來越高,這造成了一種虛假的安(ān)全感,使網絡犯罪分(fēn)子更容易利用(yòng)它們。二維碼可(kě)以掩蓋目标網址,使用(yòng)戶無法輕松驗證他(tā)們被重定向到的網站的合法性。
最近的二維碼活動和技(jì )術
最近,Cyble 研究與情報實驗室發現了一個針對中(zhōng)國(guó)公(gōng)民(mín)的複雜網絡釣魚活動。該活動使用(yòng)嵌入二維碼的 Microsoft Word 文(wén)檔,通過垃圾郵件附件分(fēn)發。這些文(wén)檔被設計成來自某政府網站的官方通知,提供 1000 元以上的勞動力補貼來引誘受害者。
這些文(wén)件經過精(jīng)心制作(zuò),看上去很(hěn)真實,帶有(yǒu)官方徽标和模仿政府通訊的語言。一旦掃描文(wén)件中(zhōng)的二維碼,它就會将用(yòng)戶重定向到一個旨在收集敏感信息的釣魚網站。
此次攻擊活動之所以引人注目,是因為(wèi)它使用(yòng)了域名(míng)生成算法 (DGA),該算法會生成一系列看似随機的域名(míng)。DGA 是一個生成大量新(xīn)域名(míng)的程序。網絡犯罪分(fēn)子和僵屍網絡運營商(shāng)通常使用(yòng)它來頻繁更改用(yòng)于發起惡意軟件攻擊的域名(míng)。這種技(jì )術使黑客能(néng)夠避開阻止特定域名(míng)和靜态 IP 地址的惡意軟件檢測解決方案。
最新(xīn)的攻擊活動并非孤立事件。Fortinet 于 2023 年 1 月記錄了類似的網絡釣魚行動,網絡犯罪分(fēn)子冒充了另一個機構。二維碼網絡釣魚攻擊的再次出現表明針對中(zhōng)國(guó)公(gōng)民(mín)的威脅持續存在,惡意行為(wèi)者不斷改進策略以逃避檢測。
二維碼網絡釣魚流程
釣魚過程始于用(yòng)戶掃描惡意 Word 文(wén)檔中(zhōng)的二維碼。此操作(zuò)将用(yòng)戶帶到釣魚網站,該網站最初會顯示一個對話框,承諾提供勞動力補貼。該網站設計得非常官方,帶有(yǒu)政府徽标和正式語言,以提高可(kě)信度。
釣魚網站要求用(yòng)戶提供個人信息,首先是姓名(míng)和身份證号。此步驟是申請補貼的必要步驟。用(yòng)戶輸入這些信息後,會轉到第二個頁(yè)面,要求提供詳細的銀行卡信息,包括卡号、電(diàn)話号碼和餘額。這些信息表面上是身份驗證和處理(lǐ)補貼所必需的。
在收集到銀行卡信息後,釣魚網站會要求用(yòng)戶等待信息“驗證”。等待時間是一種讓驗證過程看起來更合法的策略。之後,網站會以進一步驗證為(wèi)幌子,提示用(yòng)戶輸入銀行卡密碼。
該密碼疑似與國(guó)内信用(yòng)卡交易的支付密碼相同,威脅者通過獲取該密碼以及信用(yòng)卡信息,可(kě)進行非法交易,導緻受害者遭受重大經濟損失。
網絡釣魚活動技(jì )術 IoC
當用(yòng)戶掃描Word 文(wén)檔中(zhōng)嵌入的二維碼時,網絡釣魚活動就開始了。此操作(zuò)會将用(yòng)戶引導至鏈接“hxxp://wj[.]zhvsp[.]com”。然後,此初始 URL 會重定向到使用(yòng) DGA 創建的子域“tiozl[.]cn”。使用(yòng) DGA 意味着網絡釣魚 URL 會不斷變化,因此更難以預先阻止。
域名(míng)“tiozl[.]cn”托管在 IP 地址“20.2.161[.]134”上。此 IP 地址與多(duō)個其他(tā)域名(míng)相關聯,表明存在大規模網絡釣魚操作(zuò)。與此活動相關的域名(míng)是:
– 2wxlrl.tiozl[.]cn
– op18bw[.]tiozl.cn
– gzha31.tiozl[.]cn
– i5xydb[.]tiozl.cn
– hzrz7c.zcyyl[.]com
進一步調查發現,與 IP 地址“20.2.161[.]134”關聯的 SSH 服務(wù)器主機密鑰的 SHA-256 指紋與其他(tā) 18 個 IP 相關聯,這些 IP 均位于同一自治系統編号 (ASN) AS8075 内,且位于香港。這些 IP 托管具(jù)有(yǒu)類似模式的 URL,表明有(yǒu)人協同部署了多(duō)個釣魚網站。
二維碼釣魚攻擊的增多(duō)凸顯了網絡犯罪分(fēn)子日益精(jīng)明和适應性強的現象。這些攻擊利用(yòng)二維碼的廣泛使用(yòng)(尤其是在後疫情時代),有(yǒu)效地誘騙用(yòng)戶洩露敏感的财務(wù)信息。
最近針對中(zhōng)國(guó)公(gōng)民(mín)的攻擊活動凸顯了這種威脅的嚴重性,因為(wèi)惡意攻擊者使用(yòng)看似官方的文(wén)件來收集信用(yòng)卡詳細信息和密碼,導緻重大财務(wù)損失。這一趨勢強調了提高警惕和采取強有(yǒu)力的安(ān)全措施以防範此類不斷演變的威脅的必要性。
緩解建議
為(wèi)了降低二維碼網絡釣魚攻擊的風險,CRIL 表示遵循以下網絡安(ān)全最佳實踐至關重要:
1. 僅從可(kě)信來源掃描二維碼:避免掃描未經請求的電(diàn)子郵件、消息或文(wén)檔中(zhōng)的代碼,尤其是那些提供經濟獎勵或緊急行動的代碼。
2. 在繼續之前驗證 URL:掃描二維碼後,仔細檢查 URL 的合法性,例如官方域名(míng)和安(ān)全連接(https://)。
3. 安(ān)裝(zhuāng)信譽良好的防病毒和反網絡釣魚軟件:這些工(gōng)具(jù)可(kě)以檢測并阻止惡意網站和下載。
4. 随時了解網絡釣魚技(jì )術:讓自己和他(tā)人了解與二維碼相關的風險,以防止成功的網絡釣魚攻擊。
5. 使用(yòng)雙因素身份驗證 (2FA):這增加了一層額外的安(ān)全保護,使攻擊者更難獲得未經授權的訪問。
6. 保持軟件更新(xīn):确保您的操作(zuò)系統、浏覽器和應用(yòng)程序已更新(xīn)最新(xīn)的安(ān)全補丁,以防止已知漏洞。
7. 使用(yòng)安(ān)全的二維碼掃描器應用(yòng)程序:考慮使用(yòng)在打開 URL 之前将其與已知惡意網站數據庫進行檢查的應用(yòng)程序。
8. 定期監控财務(wù)報表:檢查您的銀行和信用(yòng)卡報表中(zhōng)是否存在未經授權的交易,并立即報告任何可(kě)疑活動。
轉載自安(ān)全客