钓鱼攻击

样本1：

样本行为

伪装成通达OA 0dayPOC的恶意可执行程序。运行后会获取temp目录从而生成多个文件。
C:\\Users\Public目录 或  \\Users\\Public\\Temp目录下创建qugbqibglqlGEBEGGIEuehti.txt文件
C:\\User\\Public\\mKD.exe文件C:\\Users\Admin\AppData\Local\Temp\通达OA最新版本注入.md

恶意域名

https://github.com/Sec-Fork/2022hvv0day

C2地址

43.129.158.31:555543.129.158.31:4433

处置建议

请勿点击未知链接

样本2：

样本行为

在正常的Github网站下，伪装成fofahub的激活key文件诱导用户下载，打开docx文档后会自动访问恶意链接：hxxp://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/pst.jsp
攻击者捕获用户IP，并释放恶意文件进行后续攻击

恶意文件

FofaHubKey.docx、pos[1].gif

样本行为

链接存放在doxc文档的word\footer2.xml以及\word\_rels\footer2.xml.rels

文件中

处置建议

请勿点击未知链接

钓鱼攻击简介

维基百科：

钓鱼式攻击（英语：Phishing，与英语fishing发音一样；又名网钓法或网络网钓，简称网钓）是一种企图从电子通信中，透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称（自己）来自于风行的社交网站（YouTube、Facebook、MySpace）、拍卖网站（eBay）、网络银行、电子支付网站（PayPal）、或网络管理者（雅虎、互联网服务提供商、公司机关），以此来诱骗受害人的轻信。网钓通常是透过e-mail或者即时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证，要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例。它凭恃的是现行网络安全技术的低亲和度。种种对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。

网钓技术最早于1987年问世，而首度使用“网钓”这个术语是在1996年。该辞是英文单词钓鱼（fishing）的变种之一，大概是受到“飞客”（phreaking）一词影响，意味着放线钓鱼以“钓”取受害人财务资料和密码。