垃圾信夾帶山寨新聞網站連結,引導至虛擬貨幣交易詐騙網站

點擊偽裝成合法新聞網站和虛擬貨幣交易網頁的詐騙網站內的任何連結,都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費,但要求使用者在帳戶內加值250美元作為“種子資金”。

假新聞網站
垃圾郵件連結會將受害者導到偽裝的新聞網站 點擊詐騙新聞網站內的任何連結都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費,但要求使用者在帳戶內加值250美元作為“種子資金”。

垃圾郵件使用PHP函式作為持續性機制,利用受感染裝置發送惡意連結

趨勢科技的蜜罐系統偵測到一波垃圾郵件,會利用受感染裝置來攻擊有漏洞的網頁伺服器。利用暴力破解攻擊弱帳密的裝置後,攻擊者將它們當作代理程式來將base64編碼的PHP腳本轉發到網頁伺服器。該腳本會將內嵌詐騙網站連結的電子郵件寄送給特定目標。

雖然我們發現的部分樣本是垃圾郵件或是將使用者重新導到虛擬貨幣詐騙網站,但垃圾郵件殭屍網路(botnet)可能會被用來將散播惡意軟體到更多系統或有漏洞的伺服器。因為是透過受感染裝置來發送惡意連結,如果出現更大規模的攻擊會很難找出幕後組織或攻擊者。此外,使用PHP web shell和函式不僅可以進行入侵和感染 – 還可以讓攻擊者在漏洞被修補後還能再次存取伺服器。

A close up of a device

Description automatically generated

圖1. 垃圾郵件活動攻擊鏈

攻擊者透過暴力破解取得裝置的SSH存取權限,接著利用端口轉發來將惡意PHP腳本發送到網頁伺服器。

A screenshot of a cell phone

Description automatically generated

圖2. 攻擊者透過暴力破解取得對蜜罐系統的SSH存取權限

用base64編碼的字串(趨勢科技偵測為Trojan.PHP.MAILER.A)會從受感染裝置發送到目標網頁伺服器,被我們取得並儲存成檔案。根據分析,我們發現start_cache1.php很可能是精心設計的PHP web shell,可以用來執行攻擊者的shell命令,而腳本路徑/wp-snapshots/tmp/start_cache1.php代表是受感染的WordPress網站。所以就算是修補了漏洞,攻擊者仍可以繼續存取受感染的伺服器。此外,根據解碼後的PHP腳本,垃圾郵件會被送到特定的電子郵件地址,如圖4截取的程式碼所示。

A screenshot of a cell phone

Description automatically generated

圖3. Base64編碼的PHP腳本

A screenshot of a cell phone

Description automatically generated

圖4. 包含目標電子郵件地址的垃圾郵件程式碼片段

其他函式還包括register_shutdown_function,它會在腳本執行完成後啟用一個函式。這濫用了PHP回呼函式“Register Shutdown Function Webshell”,之前有記錄被另一起惡意活動用來安裝後門。

A screenshot of a cell phone

Description automatically generated

圖5. PHP腳本內的其他函式

A screenshot of a social media post

Description automatically generated

圖6. 內嵌連結的垃圾郵件樣本

受感染網頁伺服器送出的垃圾郵件包含了詐騙網站連結。雖然看起來很像,但連結會導向不同的網站,似乎是針對正在找工作和額外收入來源的英國使用者。

A screenshot of a person

Description automatically generated

圖7. 點入郵件連結會將使用者導到詐騙網站

點擊詐騙網站內的任何連結都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費,但要求使用者在帳戶內加值250美元作為“種子資金”。

A screenshot of a cell phone

Description automatically generated

圖9. 虛擬貨幣交易詐騙網站

A screenshot of a cell phone

Description automatically generated

圖10. 要求種子資金來開始交易

幕後攻擊者並非庸手

這波攻擊的幕後攻擊者並非庸手:他們利用受感染裝置讓安全研究人員和分析師更加難以追踪到攻擊的真正來源。我們懷疑攻擊者透過掃描開放SSH端口找到對外暴露的裝置,接著進行暴力破解攻擊並用它們來發送惡意PHP腳本。

此外,偽裝成合法新聞網站和虛擬貨幣交易網頁的詐騙網站看起來也很有說服力,可以騙到那些不謹慎或急於獲得額外收入的受害者。只要有夠多的受害者落入陷阱,攻擊者不僅可以從種子資金賺到錢。還能夠安裝更多惡意軟體或取得後門,就算IT團隊修補了漏洞也可以重新入侵感染系統。受感染裝置和伺服器會被加入殭屍網路或被用在其他的獲利計劃。

儘管有些網址在本文撰寫時已經關閉,但我們仍要提醒使用者不要點入未知寄件者電子郵件內的連結以防止可能的攻擊。還必須要變更預設密碼和弱密碼,並且關閉不必要的端口以防止未經授權的入侵。使用者還可以在所有面向網際網路的裝置上安裝多層次防護,並且定期用廠商發布的修補程式來更新系統,防止攻擊者利用安全漏洞。

趨勢科技解決方案

企業可以用趨勢科技Smart Protection SuitesWorry-Free Business Security 等端點解決方案來得到保護。它們可以偵測惡意檔案和垃圾郵件以及封鎖所有相關惡意網址來保護使用者和企業抵禦威脅。趨勢科技 Deep Discovery進階網路安全防護 解決方案具備電子郵件檢查層,可以偵測惡意附件檔和網址來保護企業和使用者。

趨勢科技的Hosted Email Security提供持續更新的防護,可以在垃圾郵件、惡意軟體、魚叉式釣魚、勒索軟體和進階針對性攻擊進入網路前先加以封鎖。它可以保護Microsoft Exchange,Microsoft Office 365,Google Apps及其他託管和本地端電子郵件解決方案。

趨勢科技的客戶可以啟用下列規則:

  • 4205: Register Shutdown Function Webshell – HTTP (Request)

入侵指標(IoC)

SHA1 偵測名稱
5b6875ebd80c4e922b340aaf22831b58a16dc696 Trojan.PHP.MAILER.A

網址

  • hxxps://clck[.]ru/HfBwo, redirecting to hxxp://bvsa[.]in/publicdeliver/rmareturns.php/kbrt/anpx/?spent=1df0b12ububx0f
  • hxxps://clck[.]ru/HfCrK – inaccessible
  • hxxps://clck[.]ru/HfCYQ , redirecting to hxxp://pkusk[.]com/idkadmin/ckeditor/plugins/link/images/hidpi/libraries/merkzettel/shipping_help/wfidecademail.php/zftv/ayeq/?wait=ktw1m012zhw0
  • hxxps://cryptonation[.]thesecuretrack[.]pro/en/crypto-nation
  • hxxp://tiny[.]cc/ekubbz, redirecting to hxxp://guidetti[.]se/wp-snapshots/tmp/handleoptin/countries/encuesta/sharethis/register/commentsmiss/busqueda.php/vtsk/sdzh/?higher=1es0xze1hzcxx20
  • hxxp://tiny[.]cc/oyxbbz, redirecting to hxxp://sweetheart-exhibition[.]com/upfiles/gzip_loader.php/tka/yxrbh/?8k8s8pu0z2 

@原文出處:Spam Campaign Abuses PHP Functions for Persistence, Uses Compromised Devices for Evasion and Intrusion 作者:Augusto Remillano II