执行概要
DomainTools研究团队发现了一批恶意的pdf文件,可以追溯到2021年7月30日。虽然没有恶意内容,但它们确实链接到数十个短暂的Glitch应用程序,这些应用程序托管一个SharePoint钓鱼页面,其中包含旨在获取凭证的模糊JavaScript。网络钓鱼活动的目标是大公司的员工,似乎着重于在中东地区运营的员工。进一步来看,这似乎只是一长串类似的、以SharePoint为主题的网络钓鱼活动中的一个。
发现鱼叉式钓鱼基础设施
通过定期监测和查找与之前活动有关的恶意文件,DomainTools Research发现了一个假阳性,即一份PDF文件声称是发票。虽然这个PDF文档没有包含真正的恶意内容,但它确实包含一个链接到外部页面的/URI部分。这通常没什么意思,除非一个电子邮件地址作为片段.url中的片段是在后面的部分octothorpe并通常引用HTML页面上的' id '元素,但这可以使用CSS进行操作。
有趣的是,这个电子邮件地址属于阿拉伯联合酋长国一家公司的合法雇员。因为这意味着spearphishing, DomainTools Research决定寻找类似的文件,发现了近70份可以追溯到2021年7月30日的文件,所有文件的电子邮件地址都是在大公司工作的个人。每个文档包含目标个人的不同URL和电子邮件地址,使每个文档都是独一无二的。虽然每个URL和电子邮件都是一个类型,但文档本身每次都链接到相同的命名页面:red.htm。因此,这篇文章的标题是“看见红色”。
Glitch如何提供恶意内容
尽管url不同,但它们都是通过使用Glitch进行托管而结合在一起的。故障该公司开发了乐动体育官网下载Stack Exchange、Trello和其他软件开发工具,它提供了一个基于web的工具,带有内置的代码编辑器,可以运行和托管从简单网站到大型应用程序的软件项目。他们产品的免费版本允许应用程序在全球互联网上运行5分钟,使用glitch提供的使用三个随机单词的主机名。例如,一个文档将收件人定向到hammerhead-resilient-birch.glitch[。我知道恶意内容储存在哪里。一旦五分钟结束,页面后面的帐户必须再次单击以提供页面。这种短暂的特性使得Glitch共享空间非常适合提供恶意内容,特别是因为Glitch的域是受信任的,而且通常已经允许在许多网络上使用。DomainTools Research就此联系了Glitch,但在本文档发布时还没有得到回复。
寻找恶意有效负载的实时示例
由于这些页面是如此短暂,在DomainTools Research发现的70个文档中,没有一个包含提供下一阶段有效负载的实时页面。幸运的是,在这种情况下,有一些工具可以帮助我们捕猎。第一个是URLScan禁止在那里,你可以搜索过去一个月所有被扫描过的网站。虽然有几十个其他的url指向新的文档,但不幸的是,这只表明许多其他的url也遇到了页面失活的相同问题。
在搜索其他OSINT资源时,DomainTools Research最终在任何。运行Service,这是一个商业恶意软件沙箱和已执行恶意软件的公共存储库,可用于从恶意代码中寻找特定的交互。而报告没有包含下一个阶段的有效载荷,但它包含了用于诱骗受害者的Microsoft SharePoint钓鱼登录的截图。
虽然页面内容不可用,但DomainTools Research确实注意到了文档名称以及在初始PDF文档中“red.htm”页面之后的下一页“in.htm”的重定向。在VirusTotal上搜索这个文档名称,DomainTools Research能够找到许多与之前PDF绑定的匹配HTML文档,因为页面上预先填充了电子邮件地址,最初的PDF文档设计用于作为前面提到的URL片段传递目标的电子邮件。
混淆JavaScript
从这些页面中,DomainTools Research发现了大量混淆的JavaScript,如下所示。一旦去模糊显示了电子邮件地址和密码被提交到受威胁的WordPress网站,并转发到一个电子邮件地址在uzohifeanyi@outlook[.]com脚本的主体中发现。获取凭据之后,JavaScript将用户重定向到其电子邮件地址的URL。
以接收证书的Outlook电子邮件地址为中心,一系列可追溯到2021年9月的其他文件以各种各样的名称提供,托管在其他网站上,提供类似Glitch的托管服务,如Heroku,或通过cdn,如SelCDN。
结论
进一步的分析得出的结论是,没有任何文件被提交,或者至少DomainTools Research无法让网站提交文件,这使得这看起来像是一次凭证收获鱼叉网络钓鱼活动,目标是在文件中发现的目标,针对在中东有业务的大公司。
代码可以免费运行和托管的空间对攻击者来说是一座金矿,尤其是考虑到许多基本域都隐含地受到公司吸收的区块列表的信任。这种信任委托允许攻击者利用一个看似无害的PDF,其中只有一个到受信任的基本域的链接,以绕过防御并引诱用户信任。通过将捕获的证书转移到受攻击的WordPress站点,攻击者构建了一个攻击链,可以偷袭防御工具。
这些迭代只是网络钓鱼者继续发展他们的网络钓鱼工具包的许多方法之一,并找到创造性地运行代码的方法,而不会被今天的现代edr和依赖屏蔽列表捕获。