根据ASRC研究中心 (Asia Spam-message Research Center) 根据守内安的观察,2021年第三季度垃圾邮件总数波动不大,但钓鱼邮件仍未平息。CVE-2018-0802 程序漏洞伪装成订单邮件的攻击,数量上相较上季略有趋缓,但仍需要特别留意;冒充企业的伪造邮件攻击,较上季增长约1.5 倍,个人诈骗邮件数量较上季增加1.2倍,个人和企业都要时刻警惕中招。本季特殊样本如下:
通过 发送钓鱼邮件HTML 标签选择攻击目标
在调查中,研究人员发现了一个特殊的钓鱼邮件样本Apple Mac当默认邮件客户端打开时,可点击的链接将直接显示;但是,如果在其他微软操作系统中常见的邮件客户端,则不会显示可点击的链接。
macmail.jpg,在 Apple Mac 的默认邮件客户端开启时,会直接显示出可点击的链接
notmac.jpg,常见的微软操作系统邮件客户端不会显示可点击的链接
查看源代码,发现使用了这封钓鱼邮件HTML标签。该标签主要用于在整个页面中设置所有链接类型属性的默认根网站。然而,并非所有客户端系统都支持该标签,因此可以使用该标签筛选攻击目标。
basehtml.jpg,这封钓鱼邮件使用了 HTML标签
冒充航空公司问卷调查,获取信用卡信息
8月,一些攻击者冒充几家航空公司的身份,以入选客户忠诚计划的名义进行问卷调查,肆意逃脱一波主题“Congratulations ! You've been selected by xxxx Airline Loyalty Program”目标是骗取收件人的信用卡信息。
假冒航空公司,限时活动,花2~3调查计划可以在几分钟内获得反馈,引诱收件人填写问卷
电子邮件声称,只要你花一点时间协助完成问卷调查,你就可以获得丰厚的账户奖励。为了获得收件人的信任,电子邮件中的所有图片都来自航空公司的官方网站,只有问卷所在的网站隐藏在被篡改的网站上。如果收件人匆忙点击链接到此页面,可能会精心设计伪装的问卷调查,放松警惕;填写假问卷后,将进一步要求个人信息。
声称填写问卷可获得实质性奖励
被害人填写个人信息后,需要输入信用卡信息。这一切都是为了获得“奖励”必要步骤。
为获得奖励,必须填写个人资料和信用卡信息
如果受害人填写信用卡信息并按下发送,他将收到要求填写手机短信验证码认证;如果您配合输入短信验证码,后续通知不是航空公司的奖励,而是一系列信用卡通知。此时,信用卡已正式被盗!提醒您,在填写一些公共邮箱问卷调查时,请注意您最近是否使用过相关产品,并注意信息的合理性,特别是手机验证码等信息,以加强此类钓鱼预防。
与自身业务相关的社会工程攻击
当企业加强对信息安全概念的倡导时,收到与自己的业务无关或与自己习惯使用语言不同的电子邮件时,他们大多会保持警惕,不会打开相关的附件内容。但如果有与自己的业务相关的恶意电子邮件,内容也使用自己的习惯语言,如何小心呢?
在第三季度,出现了许多恶意邮件,包括商务咨询、保费、客户服务等问题,但包含了攻击文件。这些恶意文件通过压缩文件包含可执行文件,并试图将图表或扩展名伪造成 PDF 文件档。
假借业务询问,却夹带恶意邮件攻击档案
虽然这些社会工程技术类似于商务咨询、保费、客户服务等问题,但电子邮件中附带的恶意软件没有明确的相关性,一些恶意软件会通过压缩文件加密来避免扫描;攻击目的不同,只发现攻击Windows样本。为防止此类电子邮件,建议不要隐藏扩展名,解压后不要操作文件名不明的 .exe档案。
电子邮件压缩包炸弹,瘫痪过滤系统
Microsoft Office自2007年版本以来,提供了一种新的文件包装格式XML体系结构和ZIP压缩将文档、公式、VBA将内容存储到行和列的组织中,常见格式附件名称为.docx、xlsx、pptx、xlsm…等等。这是我们发现的ZIP用于干扰电子邮件内容扫描机制的包装结构与早期压缩文件炸弹技术相结合。
一个电子邮件.xlsm附件文档的大小约为2mb,压缩文件炸弹的技术混合在一起
将这个 .xlsm解压后,产生三个OLE对象的 .bin文中两个较小的文件是由VBScript恶意软件主要内容下载器在执行后自行清除;oleObject3.bin则是透过CVE-2017-11882实施上述 VBScript。而oleObject3解压后的大小约为2GB,由于这个文档大小过大,会对某些扫描机制产生干扰,也可能造成扫描时暂存空间瞬间用罄,导致非预期的问题。
oleObject3.bin压缩文件炸弹膨胀后的大小约为2GB
结语
攻击者如何将恶意邮件发送到目标对象的邮箱?主要有两种方式,一种是继续尝试使用字典文件作为域名;另一种是基于暴露在网络上的数据和泄露的数据库。试图发送字典文件的方式大多针对性低,容易检测和阻止尝试行为;后者更危险,经常被忽视。根据暴露在网络上的数据和泄露的数据库列表中发送的攻击信件,大多数还伴随着电子邮件地址所有者的其他相关信息,如个人信息、兴趣、其他联系信息等,可以用于更有针对性的攻击,制的攻击。
因此,在使用电子邮件地址申请任何服务时,最好根据功能进行分类,或区分使用私人电子邮件注册和公司电子邮件注册,以区分接收来源的重要性,必要时也可以关闭私人电子邮件,避免信息关联,完全从攻击者名单中删除。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章