研究人员发现一起将同形字攻击用于钓鱼攻击活动和Magecart攻击的案例。
同形字攻击的思想非常简单,就是使用看起来相似的字符来替换原来的字符。有时候,不同语言设置的字方或简单的大写i和小写的L也非常相似。攻击者在多个域名上使用该技术来加载Inter skimming套件而不是favicon文件。
研究人员通过以下方式来收集网络上的web威胁信息:爬取在线网站信息来找出信息,或使用VirusTotal这样的工具来找出信息。
在上传到VirusTotal的文件中触发检测Inter skimming套件的YARA规则如下所示。其中将Inter看作是一个流行的框架,每天都会获得几十个警告。
图 1: VirusTotal YARA规则
从中可以看出,检测到的文件并不是常见的HTML文件或JS,而是一个.ico文件。
研究人员在检查文件并看到gate(数据窃取服务器)时发现了线索:
图 2: 检查与规则匹配的内容
乍一看,域名是‘cigarpage’ 而事实上域名是‘cigarpaqe’。研究人员通过lookup查询确认了再确的网址应该是cigarpage.com,而非cigarpaqe[.]com。
合法的站点被黑后注入了一段引用该icon文件的代码:
图 3: 恶意代码注入来加载外部源
这在从伪造的站点上加载favicon来说,使用相同的URI路径是非常摘要的,目的是尽可能地看起来真实。事实上,这也并非首次skimming攻击滥用favicon文件。
图 4: 合法网站和诱饵网站
攻击者从不同的位置来加载favicon的原因是合法文件是非常小而且很典型的,而从同形域名加载的文件含有大量的JS代码。
图 5: favicon中嵌入的数据
下面的截图是支付页面上的被监控表单域以及对应的数据。
图 6: Skimming脚本
用于窃取数据的网关与用来保存恶意favicon文件的域名是相同的。
图 7: 数据窃取请求
攻击者并不是只攻击一个站点,而是攻击多个与受害者相关的站点。从恶意基础设施(51.83.209.11) 来看,有多个域名都是用这样的同形字技术注册的。
图 8: 同形攻击与已知基础设施之间的关系
以下是原始域名和同形字版本域名的对应表(左侧为原始域名,右侧为同形字域名):
cigarpage.com:cigarpaqe.com
fieldsupply.com:fleldsupply.com
wingsupply.com:winqsupply.com
zoplm.com: zopim.com
第四个域名也是一种同形字域名,但是该域名注册时间比较长。之前与Magecart Group 8 (RiskIQ)/CoffeMokko (Group-IB) 黑客组织有关,近期又被注册了。
图 9: 域名zoplm.com的热力图
https://blog.malwarebytes.com/threat-analysis/2020/08/inter-skimming-kit-used-in-homoglyph-attacks/
本文作者:ang010ela
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/137214.html
必填 您当前尚未登录。 登录? 注册
必填(保密)