真假顺丰官网,小心密码又被钓鱼!
2023-3-21 15:50:54 Author: www.aqniu.com(查看原文) 阅读量:52 收藏

真假顺丰官网,小心密码又被钓鱼!

日期:2023年03月21日 阅:136

日前,备受关注的旅日大熊猫“香香”,乘坐顺丰航空O37564全货机航班飞抵四川成都双流国际机场,随后被送往位于四川雅安的中国大熊猫保护中心。这次的“回家之旅”,不仅是顺丰航空首次执行大熊猫的运输任务,也是国内快递业首次服务大熊猫的跨境运输。

作为国内领先的快递物流综合服务商、全球第四大快递公司,顺丰同时也是我国物流运输的关键基础设施单位,长期以来成为黑产团伙重点攻击目标,近期,Coremail邮件安全团队发现,黑产团伙正大量使用不同的攻击手段组合假冒顺丰官方www.sf-express.com网站 进行钓鱼,套取用户密码。

本案例中钓鱼邮件攻击手法已由传统的正文+链接钓鱼转变为正文+html附件攻,黑产团伙通过对受害人发送【SF发票下载】主题的钓鱼邮件,引诱用户打开html附件套取密码。

由于这种方式钓鱼网站URL出现在正文中,黑产团伙尝试以此规避钓鱼URL检测。

打开HTML附件,受害者会进入黑产仿制的顺丰官网

针对此类威胁,Coremail邮件安全AI实验室现已将此类钓鱼邮件特征更新至反垃圾特征库,对此类威胁进行阻断,但不排除攻击者在近期使用类似的手法继续进行攻击。

对于该案例,Coremail也与中睿天下团队紧密协作,合作进行深度溯源,通过分析得知钓鱼链网址为

“hxxp://www.tsatcr.com/Eng/xG/SF/SF-Express/[email protected]”,直接访问该域名得知此站疑似被控,未获得其它有用信息,附件详细信息及分析过程如下所示。

(一)附件分析

附件为一份名为“SF Outstanding Invoices”的html文件,该文件中主要是让收件人点击后访问“hxxp://www.tsatcr.com/Eng/xG/SF/SF-Express/[email protected]”该链接。源码中的内容如图一所示。

图一

附件源码中的网址为钓鱼页面,如图二所示。

图二

  • 直接访问正文中链接的域名“hxxp://www.tsatcr.com”,该网站为正常的网站。如图三所示。说明攻击者利用失陷的正常网站搭建钓鱼网站页面。

图三

(二)钓鱼邮件发信源IP分析
  • 发信邮件服务器Ip为,79.141.164.176,ip归属地为荷兰 北荷兰省 阿姆斯特丹。此ip及发件的域名(inbox.0nnya.com)威胁情报标记为“垃圾邮件”。如图四所示。

图四

  • 邮件是由0时区发送至东八区。如图五所示。

图五

除了使用HTML附件攻击,Coremail安全团队也发现仿冒顺丰官网的链接钓鱼十分猖獗,如下图所示拦截的主题为:【SF快递到达详情确认】的链接钓鱼。

与传统链接钓鱼不同的是,该案例中钓鱼URL并不以超链接形式出现,而是以纯文本形式出现。黑产团伙引诱用户复制链接进入以下钓鱼网站,企图获取用户账密。

经中睿天下溯源分析邮件源码可以发现发送邮件的IP地址为198.252.107.103

查询此ip发现其归属地为中国/香港

经初步判断此ip可能为攻击者的网络出口地址,或者代理转发地址。

对该ip进行开源情报查询,发现此ip被标注恶意

(一)钓鱼链接分析

邮件正文显示诱导链接为 https://nivandcc.ir/svedew/index.html

目前仍可以访问,页面预览如下:

测试暂未发现此网站有跳转现象,解析此域名ip为195.201.55.155,

查询此IP归属地点来自德国/萨克森自由州/法尔肯施泰因。

且查询此域名发现spf校验为软拒绝,即此域名可以伪造,该域名无可继续追溯价值。

根据开源情报发现该ip关联多个恶意木马程序,包括Emotet恶意软件木马病毒、Generic盗号木马等。

Trojan.Generic属于一种常见的盗号木马,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。

Emotet 是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。Emotet 会骗过基本的防病毒程序并保持隐匿。一旦被感染,该恶意软件会像计算机蠕虫病毒一样传播,并试图渗透到网络中的其他计算机。Emotet 主要通过垃圾电子邮件传播。相应的电子邮件包含恶意链接或受感染的文档。如果您下载文档或打开链接,则其他恶意软件会自动下载到您的计算机上。

判断该ip为攻击者购买使用国外服务器ip,该服务器开放995/pop3s、443、80等多个端口。

在此,CAC邮件安全与中睿天下提醒广大用户:

1、不要轻易在可疑网站中输入个人身份证信息、银行卡号、密码。

2、提高警惕,切勿轻易点击邮件中的可疑链接/附件 或扫描二维码!

3、可选择使用邮件安全设备如Coremail邮件安全网关进行拦截防护。

4、加强意识安全教育,定期对全公司员工进行【反钓鱼演练】,并对公司重要岗位职工(财务、管理层)进行重点教育;

5、积极举报威胁邮件,携手共建邮件安全环境:举报邮箱:[email protected]

文章来源: coremail


文章来源: https://www.aqniu.com/vendor/94592.html
如有侵权请联系:admin#unsafe.sh