Evernote及其他共享平台遭網路釣客盯上

趨勢科技的研究人員發現了利用網路筆記平台Evernote進行帳密釣魚網頁的惡意活動。這波網路釣魚活動也利用影像編輯網站 Canva、資料圖表製作Infogram以及品牌範本平台Lucidpress進行的網路釣魚活動。


Evernote的筆記本可以在平台內或透過公開連結來進行分享。駭客利用此分享功能來透過網路釣魚郵件散播惡意PDF檔。

一張含有 螢幕擷取畫面 的圖片自動產生的描述
圖1. 利用Evernote的網路釣魚郵件樣本

網路釣魚郵件包含了連到Evernote網頁的網址。進入該網頁會提示使用者點入下載或預覽聲稱用Secured Microsoft Azure for OneDrive Cloud分享的文件。

一張含有 螢幕擷取畫面 的圖片自動產生的描述
圖2. 下載或預覽文件的提示

點擊Download or Preview Here(此處下載或預覽)連結後,使用者會被導到偽裝成Microsoft帳號登入頁面的釣魚網頁。

圖3. 仿冒的Microsoft登入頁面

輸入帳號密碼後,會通知使用者帳號密碼輸入錯誤,提示他們重新輸入。

一張含有 螢幕擷取畫面 的圖片自動產生的描述
圖4. 重新輸入帳號密碼的提示

郵件標頭分析

訂閱資安趨勢電子報


根據電子郵件的標頭,這封郵件通過了寄件者原則架構(SPF)和網域型郵件驗證、報告和一致性(DMARC)驗證。寄件者可能已經遭受入侵,使得帳號被用來寄送網路釣魚郵件。

一張含有 螢幕擷取畫面 的圖片自動產生的描述
圖5. 郵件標頭分析可以看到經過SPF和DMARC驗證

研究人員確認了寄件者的IP地址,發現這是一個開放的遠端桌面協定(RDP)端口。它在一個託管服務上使用Windows,並連結到網路釣魚郵件的其他寄件者。郵件主旨也遵循著如以下樣本所示的格式,:

  • <電子郵件帳號> Shared Doc Via Microsoft Azure 14 Feb 2020。
  • <個人名稱> Shared Doc Via Microsoft Azure 12 Feb 2020。


其他共享平台

研究人員還發現了利用影像編輯網站Canva、資料圖表製作Infogram以及品牌範本平台Lucidpress進行的網路釣魚活動。這些活動所用的郵件牽涉到協同作業軟體Microsoft SharePoint。

一張含有 螢幕擷取畫面 的圖片自動產生的描述
圖6. 與Canva有關的網路釣魚活動
一張含有 螢幕擷取畫面 的圖片自動產生的描述
圖7. 與Infogram有關的網路釣魚活動
一張含有 螢幕擷取畫面 的圖片自動產生的描述
圖8. 與Lucidpress有關的網路釣魚活動

第三方消息來源在之前報導過利用Microsoft SharePointMicrosoft Sway進行的類似攻擊。

避免員工遭受網路釣魚攻擊的四個要點

越來越多網路駭客會利用合法的網路共享服務來進行帳密釣魚攻擊。企業應該要遵循能夠抵禦此類攻擊的最佳實作。以下是一些能夠讓員工避免遭受網路釣魚攻擊的方法:

  1. 避免點入不熟悉來源的連結或下載檔案。
  2. 點入連結前請先仔細檢查網址。將滑鼠游標懸停在連結上或許會發現它導向了非預期的網頁。
  3. 注意語法錯誤和拼寫錯誤。
  4. 小心要求敏感資訊的電子郵件。

電子郵件和協同作業防護解決方案也可以加強對網路釣魚攻擊的防護。

入侵指標

Evernote

網址

  • hxxps[:]//www[.]evernote[.]com/shard/s430/sh/2246e4e7-382f-490d-8b97-12a790d84228/aa481828b45cc2c307ea90c720cad84b

釣魚網站:

  • hxxps[:]//tc-resourcecenteriakmi[.]org/wp-content/ogi/Iive/

IP地址

  • [107.173.141[.]117]

Canva

網址

  • hxxps[:]//www[.]canva.com/design/DAD0wJa7VOQ/lVEgSUBlT7ClTbtYDaRRgg/view?utm_content=DAD0wJa7VOQ&utm_campaign=designshare&utm_medium=link&utm_source=publishsharelink

釣魚網站

  • hxxps[:]//dickenscircles[.]icu/al/One-Drive-Arab/oneddrive/office.php

Infogram

網址

  • hxxps[:]//infogram[.]com/payment-confirmation-1h0n25l1kk7z4pe?live

釣魚網站

  • hxxps[:]//laspalmasmotel[.]com/000secure00/Office365/

Lucidpress

網址

  • hxxps[:]//pubsecure[.]lucidpress.com/d1b03e6b-6ffe-4a4d-9ad6-6d39151ccede/#_0

釣魚網站

  • hxxps[:]//mysports11[.]com/msth-admin/office/index.php

@原文出處:Threat Actors Abuse Evernote, Other Shared Platforms for Credential Phishing  作者Chen Marshall和Yapbing Yap協助提供見解和分析

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網