歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

針對韓國網站的釣魚和水坑攻擊

來源:本站整理 作者:佚名 時間:2019-04-01 TAG: 我要投稿

研究人員發現一起針對韓國網站的釣魚攻擊活動,該攻擊活動已成功入侵4家韓國網站,并通過注入偽造的登陸表單來竊取用戶憑證。攻擊活動使用了水坑攻擊來注入惡意JS代碼到網站中以加載瀏覽器漏洞利用或竊取金融信息,這種釣魚活動很少見。
研究人員將該攻擊活動標記為Soula,它通過韓國主流搜索引擎的偽造的登陸屏來收集信息。它會發送記錄的憑證到攻擊者的服務器,因此研究人員認為攻擊者仍然在驗證和信息收集階段。
攻擊鏈

圖1. Soula攻擊鏈
注入的腳本會對網站訪問者進行化學,并在主頁頂部加載釣魚表格。它可以掃描HTTP referer header字符串,并檢查其中是否含有與主流搜索引擎和社交媒體站點相關的關鍵字,來驗證訪問者是否是真實的。因為HTTP referer header會識別到請求的頁面的源的地址頁,因此檢查可以讓他識別訪問者是否是真實的用戶,并過濾機器爬蟲或威脅引擎掃描器。
然后腳本會掃描HTTP User-Agent header看是否含有iPhone, iPad, iPod, iOS和Android等字符串來識別用戶使用的設備是電腦還是移動設備,然后發送對應的釣魚表單到受害者。移動用戶在點擊了任意被黑網站上的按鈕就會看到彈出的偽造的登陸表單。為了隱藏惡意活動,只有受害者訪問頁面6次以上才會啟用彈窗,會設置一個cookie來對訪問次數進行計數。Cookie有效期會設置為上次彈窗后2小時。

圖2. 檢查HTTP Referer和HTTP User-Agent的注入腳本
如果設備沒有前面列出的字符串,Soula會假定用戶使用桌面計算機訪問網站。用戶會在被黑的網頁頂部看到偽造的登陸表單,邀請用戶輸入用戶名和密碼后才能繼續訪問站點。用戶信息會字節發送到攻擊者的服務器。為了防止被網站發現,釣魚腳本設定瀏覽器cookie為初次交互后的12小時。
研究人員發現注釋使用的簡體中文,并使用Cloudflare來保護域名,隱藏真實IP地址。研究人員聯系了Cloudflare停止為惡意域名提供服務,但是攻擊活動并沒有停止。事實上,攻擊者進一步加強了檢測繞過的特征。攻擊者對注入被黑的站點的JS腳本增加了混淆,將腳本和釣魚頁面移動到被黑的web服務器來繞過檢測和防止域名被移除。

圖3.中文注釋


圖4. 注入的腳本混淆前后對比
結論
考慮到被黑的站點之一是韓國訪問量前300的站點,而且搜索引擎主機提供的服務對韓國用戶來說是可信的,因此Soula對用戶和企業來說都是一個很嚴重的威脅。攻擊者搜索和連接的內容字符串說明了犯罪分子的潛在計劃是影響全球更多用戶的更大規模的攻擊活動。
與社會工程釣魚攻擊相比,這種技術更難追蹤,終端用戶仍然可以通過多層防護方法來保護自己。研究人員建議用戶啟用2FA來增加額外的認證過程和步驟。同時要從合法廠商處及時下載更新,并啟用內容安全策略來防止非授權的訪問以及遠程注入腳本的漏洞利用使用。
 

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视