【網路釣魚 】「Soula」偽造搜尋引擎登入畫面,針對韓國網站發動水坑攻擊,竊取帳密

趨勢科技發現一波網路釣魚活動利用注入假登入表單來竊取使用者帳密,至少有四家韓國網站受害,包括了該國訪問量最大的商務網站。雖然我們之前就看過網路犯罪分子對網站注入惡意JavaScript來載入瀏覽器漏洞攻擊碼或金融資料擷取病毒,但利用水坑攻擊進行網路釣魚並不常見。這波我們標示為「Soula」的攻擊活動(偵測為Trojan.HTML.PHISH.TIAOOHDW)會跳出偽造韓國常用搜尋引擎登入畫面來蓋過原始網頁以收集資料。它會不經確認就直接將記錄的帳密送到攻擊者的伺服器,所以我們認為駭客還在研究與收集資訊的階段。

攻擊行為

「Soula」針對韓國網站發動水坑攻擊竊取帳密

圖1、 Soula的攻擊鏈。

我們在3月14日追蹤了受害網站的JavaScript注入。注入腳本針對網站訪問者來在主要網頁載入了網路釣魚表單。它會掃描HTTP referer標頭字串來檢查是否包含跟熱門搜尋引擎或社群媒體網站相關的關鍵字,以驗證訪問者是否是真人。因為HTTP referer會將來源位置網頁標識為請求頁面,這樣就能夠輕易地確認訪問者是否為真實使用者(如果請求來自搜尋引擎或社群媒體),過濾掉bot爬蟲及威脅引擎掃描程式。

設置 cookie 計算訪問次數 ,掩蓋惡意行為

該腳本接著會掃描HTTP User-Agent標頭來找出是否有iPhoneiPadiPodiOSAndroid等字串,以確認使用者是用桌機或行動裝置,好提供對應的網路釣魚表單。行動用戶要點擊被駭網站上的任一按鈕才會看到假登入表單。為了掩蓋惡意行為,它會設置cookie來計算訪問次數,並在受害者第六次訪問網站後才會出現彈跳式視窗。這cookie也會在最後一次互動後兩小時過期。

用來檢查HTTP Referer和HTTP User-Agent的注入腳本。

圖2、用來檢查HTTP Referer和HTTP User-Agent的注入腳本。

如果沒有找到上述的字串,Soula會假定使用者用桌機訪問網站。使用者會直接在有問題網頁上看到假登入表單,要求使用者輸入帳號密碼才能繼續訪問該網站。使用者資料會直接送到攻擊者的伺服器。為了防止被懷疑,網路釣魚腳本會對接收網路釣魚表單的瀏覽器設置cookie,讓假登入在初始互動後12小時過期。

程式碼註解使用的是簡體中文

我們注意程式碼註解使用的是簡體中文,並用Cloudflare來保護其網域並隱藏真實IP地址。我們發現此攻擊後聯繫了Cloudflare,但當他們將惡意網域從其服務移除時,該攻擊活動並未停止。事實上,該攻擊活動進一步加強了躲避偵測的功能。攻擊者混淆處理了注入網站的JavaScript程式碼,並將腳本及網路釣魚頁面移到一個被駭的網頁伺服器以避免被偵測並防止網域被移除。這些網站在本文發表時已經恢復正常。

使用簡體中文的註解

圖3、使用簡體中文的註解

使用簡體中文的註解
使用簡體中文的註解

圖4、注入受害網站的原始腳本及混淆處理過的版本。

駭客可能計劃發展成影響全球大型攻擊活動

因為被入侵的網站之一是韓國前300大訪問量的網站,而且搜尋引擎作為可信任網站也為其韓國客戶提供了各種服務,這讓 Soula對企業和使用者來說都成為重大的威脅,因為它會洩露許多平台的使用者帳密。此外,它所搜尋的內容字串和連至伺服器方式顯示出駭客可能在計劃將其發展成影響全球更多人的更大型攻擊活動。

雖然這類技術跟社交工程網路釣魚攻擊相比可能更難被追踪,但端點使用者仍然可以用能夠偵測、掃描和封鎖惡意網址及彈出視窗的多層次防禦系統來保護自己。使用者還應盡可能地啟用其他身份驗證措施,例如雙因子認證(2FA)。建議安全管理員在廠商提供修補程式時要立刻下載更新,並啟用內容安全策略來防止未經授權的存取及利用漏洞來遠端注入腳本。

趨勢科技解決方案

入侵指標

SHA256 描述 偵測
03ab41336ff260ec2410ac2704467676284df86 44befce5a0b40773cc570286a Soula釣魚腳本雜湊值 Trojan.HTML.PHISH.TIAOOHDW
29447d09a76f2a7982562a4386529d0af26cd75 6671fd7173d518a34717c2aae Soula釣魚腳本雜湊值
7034c01be6c94ce2d42bbc3c197d0f9678ccb0fc c6ba6d0484d6bcf859a6d774 Soula釣魚腳本雜湊值
b2bc1df018abd4ebc2e2f68fbae09a55bc381736 97171507f8cfef9e7ec39978 Soula釣魚腳本雜湊值

網址

  • hxxps://oauth2[.]space/      釣魚網站
  • hxxps://oauth20[.]xyz/        釣魚網站

@原文出處:Desktop, Mobile Phishing Campaign Targets South Korean Websites, Steals Credentials Via Watering Hole 作者:Joseph C Chen(網路詐騙研究員)