钓鱼攻击活动中再现同形字攻击

2020-08-10 7,210

研究人员发现一起将同形字攻击用于钓鱼攻击活动和Magecart攻击的案例。

同形字攻击的思想非常简单,就是使用看起来相似的字符来替换原来的字符。有时候,不同语言设置的字方或简单的大写i和小写的L也非常相似。攻击者在多个域名上使用该技术来加载Inter skimming套件而不是favicon文件。

攻击活动发现

研究人员通过以下方式来收集网络上的web威胁信息:爬取在线网站信息来找出信息,或使用VirusTotal这样的工具来找出信息。

在上传到VirusTotal的文件中触发检测Inter skimming套件的YARA规则如下所示。其中将Inter看作是一个流行的框架,每天都会获得几十个警告。

image.png


图 1: VirusTotal YARA规则

从中可以看出,检测到的文件并不是常见的HTML文件或JS,而是一个.ico文件。

研究人员在检查文件并看到gate(数据窃取服务器)时发现了线索:

image.png


图 2: 检查与规则匹配的内容

同形字攻击

乍一看,域名是‘cigarpage’ 而事实上域名是‘cigarpaqe’。研究人员通过lookup查询确认了再确的网址应该是cigarpage.com,而非cigarpaqe[.]com。

合法的站点被黑后注入了一段引用该icon文件的代码:

image.png


图 3: 恶意代码注入来加载外部源


这在从伪造的站点上加载favicon来说,使用相同的URI路径是非常摘要的,目的是尽可能地看起来真实。事实上,这也并非首次skimming攻击滥用favicon文件。

image.png

 图 4: 合法网站和诱饵网站


攻击者从不同的位置来加载favicon的原因是合法文件是非常小而且很典型的,而从同形域名加载的文件含有大量的JS代码。

image.png


图 5: favicon中嵌入的数据

Skimmer

下面的截图是支付页面上的被监控表单域以及对应的数据。

image.png

图 6: Skimming脚本


用于窃取数据的网关与用来保存恶意favicon文件的域名是相同的。

image.png


图 7: 数据窃取请求

攻击活动与Magecart Group 8有关

攻击者并不是只攻击一个站点,而是攻击多个与受害者相关的站点。从恶意基础设施(51.83.209.11) 来看,有多个域名都是用这样的同形字技术注册的。

image.png


图 8: 同形攻击与已知基础设施之间的关系


以下是原始域名和同形字版本域名的对应表(左侧为原始域名,右侧为同形字域名):

  • cigarpage.com:cigarpaqe.com

  • fieldsupply.com:fleldsupply.com

  • wingsupply.com:winqsupply.com

  • zoplm.com: zopim.com

第四个域名也是一种同形字域名,但是该域名注册时间比较长。之前与Magecart Group 8 (RiskIQ)/CoffeMokko (Group-IB) 黑客组织有关,近期又被注册了。

image.png 

图 9: 域名zoplm.com的热力图

 

 

https://blog.malwarebytes.com/threat-analysis/2020/08/inter-skimming-kit-used-in-homoglyph-attacks/


本文作者:ang010ela

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/137214.html

Tags:
评论  (0)
快来写下你的想法吧!

ang010ela

文章数:56 积分: 711

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号