網路釣魚靠著冒充身份來引誘毫無防備的受害者下載檔案或點入連結的簡單概念,成為網路犯罪歷久不衰的手法,不過網路釣客使用的策略已經越來越加複雜。趨勢科技近日發現有利用合法工具SingleFile作為混淆手法,避免偵測的網路釣魚活動。
SingleFile是Google Chrome和Mozilla Firefox的擴充套件,讓使用者能夠將網頁另存成單一的HTML檔案。雖然瀏覽器可以讓使用者將網頁儲存為「.htm」文件,但這通常代表會為網頁內的所有檔案建立多個資料夾。SingleFile簡化了儲存網頁及所有檔案的流程,可以應用在各種情境,如儲存整個網站。但它對駭客來說也一樣有用,因為我們發現駭客會利用SingleFile來混淆網路釣魚攻擊。
圖1. Chrome版SingleFile的工具選項
我們看到的樣本顯示網路犯罪份子用SingleFile複製合法網站的登入頁面進行網路釣魚活動。產生登入頁面的方法很簡單:
- 攻擊者連上要仿冒的網站登入頁面(我們所看到樣本是金流服務網站Stripe)。
- 接著用SingleFile儲存並產生包含整個網頁的檔案,包括了所有的圖片(儲存為svg檔)。
儘管這手法很簡單卻非常有效,因為它實際上產生了跟原始登入頁面完全相同的版本。
圖2. 原始Stripe登入網頁(上)與SingleFile所產生山寨登入頁面(下)的比較。唯一明顯的區別是網址。
圖3. 顯示將圖檔用base64編碼儲存為.svg檔的代碼
利用SingleFile建立山寨登入頁面在混淆網路釣魚企圖方面非常有效,因為跟其他像「document.write(unescape(」使用JavaScript的混淆作法不同,產生的網路釣魚網頁隱藏了登入HTML程式碼及原本登入頁面所用的JavaScript而不被靜態偵測工具發現。雖然圖2顯示出可以很容易地從不正常網址來發現網路釣魚攻擊,但更積極的駭客可能會使用看起來更加合理的網址,更能夠去說服目標受害者。
這波攻擊很新,是從2019年2月27日開始,我們所發現的樣本是駭客在2019年2月10日儲存的。
圖4. 網路釣魚頁面是用SingleFile產生。仍可以在代碼中找到網頁儲存日期和時區等資訊。
請注意,雖然本文展示了SingleFile如何被用在惡意用途,但這並沒有影響到擴充套件本身的安全性,套件使用者也不會受到影響。
建議和解決方案
個人和組織都可以遵循對抗網路釣魚的標準最佳實作來最大程度地減少此攻擊及網路釣魚的威脅。包括了:
- 任何有異常網址的網站都可能是惡意的,因為大多數公司網站都會帶有自己的名字或品牌名稱。
- 有些駭客會建立看起來類似官方網站的網址。因此使用者應該要仔細檢查連上的網站是否使用了正確的網址。這可以透過查詢搜尋引擎這樣簡單的步驟完成。
- 使用者應該要避免點入任何通過電子郵件收到的連結或下載檔案,除非可以絕對確定寄件者是合法來源。
對於更全面的安全解決方案,組織可以考慮使用如趨勢科技Cloud App Security這樣的技術,該解決方案使用機器學習(Machine learning,ML)來進行網頁信譽評比和網址動態分析。此外,它還能夠偵測郵件本文及附件檔內的可疑內容,並且提供沙箱惡意軟體分析和文件漏洞攻擊偵測等技術。
同時,趨勢科技的網頁信譽評比服務能夠保護使用者不被上述混淆手法所影響。網頁信譽評比服務基於諸如存在時間、位置的歷史變化及用惡意軟體行為分析所發現的任何可疑指標等因子來分配信譽評比分數以確認網址的可信度。接著它會掃描網站並封鎖有問題的網站。
入侵指標(IoC)
網址:hxxps://malumkdixz[.]mld/wx/Ma/
@原文出處:Phishing Attack Uses Browser Extension Tool SingleFile to Obfuscate Malicious Log-in Pages 作者:Samuel P Wang
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用