随着互联网技术的日新月异,网络用户每天通过互联网和各种应用程序进行购物、工作、账单支付、社交和流媒体娱乐等活动,然而为多个平台设置相同用户名和密码的用户无疑将自身置于风险之中。简言之,如果其中一个平台遭受威胁入侵,那么该平台的用户名和密码信息将流入暗网市场,并被肆意兜售。更糟糕的是,如果这些凭据还可用于登录被窃用户的金融机构系统或在线购物网站等对犯罪分子而言极具货币价值之处,后果将不堪设想,而对账户所有者而言,则意味着高昂的代价!
网络犯罪分子意图采用多样化攻击策略,目标直指凭据窃取。近期,Fortinet全球威胁情报响应与研究团队(FortiGuard Labs) 检测到一项值得关注的恶意威胁活动,网络犯罪分子使用各种二维码针对中文用户发起网络钓鱼攻击,旨在引诱用户访问威胁行为者操控的钓鱼网站并引导其输入用户数据,从而暗中窃取凭据。
网络钓鱼电子邮件
此类电子邮件内容极为精简且具有诱惑性,意在诱导收件人打开附件中的恶意Word文档。
图1.网络钓鱼电子邮件截图
上图中的电子邮件即意图仿冒中国财政部欺骗用户。图1中的电子邮件主题为:“RE:关于2022年个人劳务补贴申领通知”。正文内容为“关于财务部2022年第四季度个人劳务补贴申领通知!请点击附件查看!”。
Word附件名为“转发:关于财四季度个人劳动补贴申领通知.docx”。
图2.带有二维码的恶意 Word 文档名
一旦用户打开附件,可发现该恶意文档中赫然显示一个二维码以及详细的文本描述。
图3.Word文档内容
恶意二维码
通常,二维码(QR)需专门的应用程序进行扫描,才能读取其中嵌入的信息。多数智能手机均具备这一功能,而且目前所有主流平台均支持解码软件包,因此电脑端同样支持读取二维所嵌入的内容。二维码自诞生至今为各行各业带来了诸多便利,在日常生活中应用广泛。然而恶意二维码的狡诈之处在于故意嵌入恶意URL,将用户诱导至网络钓鱼网站或冒充正规应用程序的恶意软件。
在FortiGuard Labs已发现的攻击案例中,Word附件中包含的二维码均意在将用户指引至恶意URL。当用户使用台式设备或移动设备扫描该二维码时,便被直接路由至威胁参与者掌控的恶意网站。
恶意网站
FortiGuard Labs对上述二维码链接中的恶意网站进行分析后发现,该网站实际为仿冒钉钉相关网站一个的欺骗性钓鱼网站。值得注意的是,截止本文发布之日,该站点已无法访问。作为阿里巴巴集团开发的一款广受欢迎的企业级通信平台,钉钉软件拥有广泛的覆盖范围及庞大的用户群体,鉴于此,FortiGuard Labs推断,受该攻击活动影响的收件人可能已泄露凭据。
图4.威胁行为者控制的仿冒钉钉网站
用户被定向至一则弹出的消息框,告知用户其钉钉帐户涉嫌未指明的业务违规行为,如果24小时内未经验证,账户将被冻结。
点击消息框中的确认按钮后,即出现以下登录页面,邀请用户输入凭据信息以解决上述问题。
图5.凭据输入页面
总结
借由非法获取的凭据,犯罪分子和威胁参与者可直接入侵受害者使用的应用程序或网络环境,凭据因此沦为其获取不法收入的宝贵资源。这些凭据不仅可供其直接非法利用,还可出售给其他犯罪集团进行非法运营。该攻击案例表明,攻击者极尽所能使其仿冒网页以假乱真。如此一来,其投放的诱饵内容便足以令受害者放松警惕,在毫无防备的情况下输入凭据信息。
无论攻击者的动机如何,这类攻击活动无疑将持续存在。Fortinet建议用户务必仔细验证电子邮件地址,切勿轻易打开附件或可疑链接,并切勿在陌生网站中输入任何凭据信息。鼓励用户直接访问官方公开站点进行业务交易,避免使用其他途径获取的可疑链接。用户还可将鼠标悬停在链接处验证URL是否存在异常。此外,Fortinet还鼓励企业组织为最终用户提供安全意识培训,帮助其有效识别并避免点击恶意电子邮件附件和链接。
Fortinet 威胁防护时刻伴您左右
Fortinet 推出 FortiGuard Web Filtering(web过滤)、AntiVirus(防病毒)、FortiMail、FortiClient 和 FortiEDR 等多种安全服务,确保用户免受此类恶意软件的攻击,如下所示:
以下(AV)签名检测到本文中提到的恶意软件样本
MSWord/Phish.CCFD!trData/Phish.9C34!phish
WebFiltering客户端会阻止所有与该恶意样本相关的网络访问链接。
Fortinet 提供多种解决方案,助力企业加强用户培训,使其充分了解并成功检测网络钓鱼威胁:
FortiPhish 网络钓鱼模拟演练服务,采用真实模拟方式帮助企业组织进行用户网络钓鱼威胁安全意识和警惕水平测试,并基于有针对性的网络钓鱼仿真案例,实景教导用户掌握防范要点,强化威胁识别能力及正确的防护操作。
此外,我们建议企业组织邀请最终用户参与Fortinet 网络安全专家(NSE)免费培训:NSE 1 – 信息安全意识培训。该培训课程涵盖网络威胁学习模块,旨在指导最终用户学习准确识别并有效保护自身和企业免受各类网络钓鱼攻击。
IOC(入侵指标)
基于文件的 IOC(入侵指标):
基于网络的IOC(入侵指标):