Heatstrok網路釣魚攻擊,為何鎖定科技產業員工免費信箱?

Heatstrok惡意活動利用多階段網路釣魚攻擊,專竊取PayPal和信用卡資訊

雖然網路釣魚活動在2019年上半年顯得較為平靜,但它仍是網路犯罪分子的主要攻擊武器。最新的例子是Heatstroke網路釣魚(Phishing)活動。

Heatstroke使用了圖像隱碼術(Steganography)等複雜的技術,不只是冒用合法網站等多樣化的社交工程手法。Heatstroke操作者鎖定受害者的私人郵件地址,尤其是免費信箱,其中包括了科技產業的主管和員工。由於免費信箱安全防護和垃圾郵件過濾機制比較薄弱,而且私人郵件也常被用來驗證社群媒體和電子商務網站,以及作為Gmail和企業帳號的備用帳號。特別是Gmail帳號;取得權限的攻擊者也可以存取受害者的Google雲端硬碟,甚至可能會危及連結帳號的Android裝置。因此,跟防護較高的企業郵件帳號比起來,這些免費郵件帳號是攻擊者偵察及收集目標情報更好的起點。

Heatstroke攻擊鏈

Heatstroke操作者使用下列策略來隱藏自己的踪跡:

  • 多階段網路釣魚攻擊。為了避免起疑,攻擊者並不會著急。跟通常只用單一網頁進行的釣魚攻擊比起來,Heatstroke試圖用多階段作法去模仿合法網站,讓目標受害者不會感受到不妥之處。
  • 混淆蹤跡。釣魚套件內容是從另一個位置轉發,但會被偽裝成來自登錄頁面。登錄頁面也會不斷變動來繞過內容過濾器。釣魚套件還能夠封鎖IP範圍、爬蟲服務甚至是漏洞掃描程式這類安全工具。如果從攻擊者列入黑名單的位置、瀏覽器、IP地址或國家/地區進行連線,則該網頁不會顯示內容(出現HTTP 404錯誤),或是內容會從其他位置轉發。釣魚套件的第一個網頁是由Base64編碼的PHP腳本產生,來躲避或繞過防火牆。
  • 網路釣魚即服務。我們看到了另一團隊購買此套件來進行自己的網路釣魚攻擊。該套件開發者甚至為此團隊分配專屬的API金鑰。顯示出這些攻擊活動包含了客戶、操作者和開發者等角色。
  • 自我感知的釣魚套件。釣魚頁面內容會根據使用者/訪客屬性動態產生。網頁原始碼內藏了一篇像是童話的故事。可能是開發者想表明自己知道研究人員會查看他的原始碼。
  • 試圖顯得合法。會根據受害者來從該國網域寄送網路釣魚攻擊。在趨勢科技分析的案例裡,用於攻擊的網域曾屬於合法商家但後來被出售。

被偷的帳密會用圖像隱碼術(Steganography)(將資料隱藏或嵌入到圖檔裡)送到特定的郵件地址。我們在研究過程中監測到兩個相似的釣魚套件 – 一個針對Amazon使用者,另一個則會竊取PayPal帳密。

這兩個套件的策略和技術都很類似,不管是託管釣魚套件的網站,所竊取資訊類型或是所用的掩蔽技術。這兩個套件似乎也結束在同一個使用者驗證階段。這些相似處可能代表它們來自相同的地方。這些套件用來攻擊的時間和範圍進一步顯示出它們的相似性,因為都被送給相同的受害者。

A screenshot of a cell phone

Description automatically generated

圖1. Heatstroke網路釣魚感染鏈;請注意,感染鏈可能會依使用者/行為屬性而變動

Heatstroke感染鏈

在此案例中,感染鍊是動態的,有些行為會根據使用者/行為屬性而變動。底下是我們在研究過程中所觀察到的整體攻擊鏈:

  1. 攻擊者寄出網路釣魚郵件來要求使用者驗證其帳號。電子郵件是從合法網域送出,避免被垃圾郵件過濾器封鎖。
  2. 使用者被要求點入郵件內的按鈕/網址來驗證他在PayPal(和Amazon)上的帳號。根據釣魚套件內的htaccess檔案顯示,攻擊者似乎計劃對eBay、Google、Apple、Firefox、Datasift、Internet.bs及其他服務開發類似的釣魚套件。
  3. 使用者被導到第一階段網站(依使用者而不同)。這網站是用來將受害者導到釣魚套件網站,好讓攻擊者的網路釣魚攻擊繞過內容過濾器。
  4. 第一階段網站會將使用者導到第二階段網站,這是真正的釣魚套件網站。此階段是為了進行驗證。它會檢查使用者是否是機器人、網路爬蟲或Nessus之類的安全工具。還會檢查使用者是否來自某些網路(如FBI的網域),以及使用者IP是否來自黑名單內的IP範圍。
  5. 完成所有的檢查後,使用者會被帶到第三階段網站,真正的網路釣魚網站。網頁內容是用Base64編碼的PHP腳本產生以繞過防火牆。內容也會根據受害者IP地址來進行本地化。
  6. 要求使用者填寫個人資訊,包括了電子郵件帳密、信用卡詳細資訊及其他個人身份資訊(PII)。這些資訊會被編碼嵌入影像檔,然後寄送到攻擊者的郵件地址。攻擊者還會收集使用者所用作業系統的相關資訊。
  7. 使用者填完資訊並按下最後一個按鈕後不會發生任何事情。如果使用者試著再透過相同IP和設定來連上釣魚套件網站,該網站不會載入釣魚套件。

Heatstroke釣魚套件技術分析

首先是從主目錄內的index.php腳本開始,該腳本是用base64編碼(如圖2所示)。諷刺的是,該腳本利用網路反詐騙服務來檢查訪客的IP地址。如果該服務已經封鎖或將訪客IP地址列入黑名單,則釣魚套件會阻止訪客查看內容。它還會用各種變量組成會話金鑰。此會話金鑰被用來標識受害者,會在攻擊後期階段用到。

A picture containing text

Description automatically generated

圖2. Base64編碼(左)和解碼過(右)的程式碼,用來確認是否要提供訪客網路釣魚內容

一旦訪客通過檢查,就會出現釣魚套件的內容。例如,連結hxxps://www[.]posicionamientowebeconomico[.]es/wp-includes/css/signin[.]html(第二階段網站)會顯示將使用者導向帳號驗證網頁,實際上是將使用者導向騙取帳密的惡意網站。

使用者看到的內容是從其他來源載入(根據./htaccess檔案內訪客規則設定),使用者會被重新導到網路釣魚網站,hxxps://raisingtwo[.]com/INC/signin/-/PPL-ID/app/signin。該網頁會要求使用者輸入電子郵件地址和密碼。輸入時會驗證內容,只允許輸入合法的電子郵件地址格式。

A screenshot of a cell phone

Description automatically generated

圖3. 要求使用者用電子郵件地址和密碼驗證其帳號的假網頁

該網頁用PHP腳本動態產生網路釣魚內容。當用瀏覽器檢視它的原始碼時(如圖4所示),會出現一則故事,可能是想跟試圖分析的研究人員開玩笑。

A screenshot of a cell phone

Description automatically generated
A screenshot of a cell phone

Description automatically generated

圖4. 產生釣魚頁面的PHP腳本(上)以及在瀏覽器上查看的網頁原始碼(下)

以下檔案/組件也是提供給訪客的釣魚內容一部分:

  • antiX.php – X是1到8間的數字。它會避免/封鎖網頁掃描程式、漏洞和安全研究工具、爬蟲工具及某些IP地址,阻止它們連上釣魚網站。
  • index.php – 包在antiX.php裡,可以收集使用者資訊(如透過getOs,getBrowser)。
  • langauges.php – 為釣魚網頁提供本地化內容的動態檔案。
  • Algo.php – 將瀏覽器和作業系統名稱解析為標準格式。
  • Mine.php – 列出釣魚套件作者的客戶端預設設定,包括API金鑰和安全API金鑰。
A screenshot of a social media post

Description automatically generated

圖5. antiX.php程式碼片段(左和中)以及釣魚網站的資料欄位(右)

Heatstroke如何竊取付款資訊

一旦使用者提供了電子郵件地址和密碼,釣魚套件就會提供頁面來通知使用者“異常活動”。這會讓使用者產生已登入的想法,即將通過真正的PayPal網站來解決帳號驗證問題。提供給使用者的釣魚內容原始碼(圖6,也是由套件產生),也出現了故事(圖7)。

A screenshot of a cell phone

Description automatically generated

圖6. 顯示異常活動通知的釣魚網頁(左)。它會將使用者導到另一個網頁(右),該網頁會竊取使用者的信用卡資訊

A screenshot of a social media post

Description automatically generated

圖7. PHP腳本原始碼(上)。會產生網路釣魚內容來要求信用卡資訊

process.php會封鎖目標外的使用者連上釣魚網頁。當使用者被導到第一階段釣魚網站時,每個產生的網頁裡都有它,同時會檢查表單內每個欄位。

當使用者填寫表單並按下“儲存”,網站上似乎沒有發生任何事情。但其實釣魚套件已經將資料寄送給攻擊者。釣魚套件會利用公開的信用卡和簽帳金融卡查詢網站來驗證卡號。一旦卡號驗證成功,最後提供給使用者的畫面是重新導向一個短網址,會連上合法/真正的Paypal登入頁面。

深入了解釣魚套件工具包的動態能力

我們可以從字串識別出釣魚套件的開發者和客戶。進一步研究顯示Heatstroke管理者至少可以說捷克語、英語、西班牙語和印尼語。圖8顯示了套的設定及開發者為每個設定加入的資訊。

A screenshot of a cell phone

Description automatically generated

圖8. 顯示釣魚套件設定(左)和./htaccess內容片段,顯示如何將目標外訪客(如來自FBI網域的訪客)重新導到另一個網站(右)

如前所述,釣魚套件具備用黑名單封鎖目標外訪客的功能。像anti.php腳本可以將黑名單內的使用者(沒有通過驗證)導到另一個網站hxxp://2m[.]ma/ar/。黑名單包括整段IP地址、參照、“Google”等字串及瀏覽器。

使用圖像隱碼術及被竊資料會如何?

釣魚套件將竊取的資料送到可能是攻擊者所擁有網域的郵件地址。它會用兩種方法向不同電子郵件地址發送不同的資料。第一種方法是用一般的電子郵件寄送被竊資料(通過step6.php),如圖9所示。

圖9. 顯示如何將被竊資料送給攻擊者的程式碼片段:透過電子郵件(上)和圖像隱碼術(下)

第二種方法使用圖像隱碼術(在圖檔裡嵌入資料),將被竊資料編碼成圖像、加密、然後用電子郵件寄給攻擊者。但我們發現缺少此函數的完整程式碼,所以程式碼捕捉並不完整。可能這函數還在開發中,或開發者沒有提供。另外值得注意的是釣魚套件內名為“proof”的資料夾內包含兩個.img檔案,檔案名稱就是MD5雜湊值。圖10是圖片範例,有相似的視覺圖案。對釣魚套件的二進位分析顯示出ASCI字串實際上是暫放的,可能是對潛在客戶展示該套件的功能。

圖10. 用圖像隱碼術嵌入被竊資料的樣本圖片(上)以及ASCI字串截圖(下)

最佳實作以及趨勢科技解決方案

Heatstroke開發者顯然是要採用網路釣魚即服務的商業模式,這代表其他網路犯罪分子可以利用此釣魚套件進行自己的攻擊來竊取PII和付款資訊。我們也預期這類釣魚活動會加入更多躲避偵測及阻止分析的技術,就像是圖像隱碼術(雖然現在尚不完整)和黑名單。使用者和企業應該要提高網路安全意識,特別是在抵禦社交工程郵件威脅方面。

趨勢科技的PC-cillin雲端版Smart Protection SuitesWorry-Free Business Security 可以偵測惡意檔案和垃圾郵件並封鎖相關惡意網址來保護使用者和企業抵禦Heatstroke網路釣魚攻擊。

入侵指標(IoC):

The Rising Tide of Credential Phishing
檔案名稱 SHA-256 趨勢科技偵測名稱
bin 587368b3f679083010690cbc15df647a045f62f02ca86495d704d24fdb2eb5d6 Trojan.PHP.PHISHKIT.B

相關網址:

  • hxxp://2m[.]ma/ar/
  • hxxps://alphawolfden[.]com/.well-known/
  • hxxps://posicionamientowebeconomico[.]es/wp-includes/
  • hxxp://raisingtwo[.]com/INC/

@原文出處:‘Heatstroke’ Campaign Uses Multistage Phishing Attack to Steal PayPal and Credit Card Information 作者:Jindrich Karasek(威脅研究員)