趨勢科技發現一波網路釣魚活動利用注入假登入表單來竊取使用者帳密,至少有四家韓國網站受害,包括了該國訪問量最大的商務網站。雖然我們之前就看過網路犯罪分子對網站注入惡意JavaScript來載入瀏覽器漏洞攻擊碼或金融資料擷取病毒,但利用水坑攻擊進行網路釣魚並不常見。這波我們標示為「Soula」的攻擊活動(偵測為Trojan.HTML.PHISH.TIAOOHDW)會跳出偽造韓國常用搜尋引擎登入畫面來蓋過原始網頁以收集資料。它會不經確認就直接將記錄的帳密送到攻擊者的伺服器,所以我們認為駭客還在研究與收集資訊的階段。
攻擊行為
圖1、 Soula的攻擊鏈。
我們在3月14日追蹤了受害網站的JavaScript注入。注入腳本針對網站訪問者來在主要網頁載入了網路釣魚表單。它會掃描HTTP referer標頭字串來檢查是否包含跟熱門搜尋引擎或社群媒體網站相關的關鍵字,以驗證訪問者是否是真人。因為HTTP referer會將來源位置網頁標識為請求頁面,這樣就能夠輕易地確認訪問者是否為真實使用者(如果請求來自搜尋引擎或社群媒體),過濾掉bot爬蟲及威脅引擎掃描程式。
設置 cookie 計算訪問次數 ,掩蓋惡意行為
該腳本接著會掃描HTTP User-Agent標頭來找出是否有iPhone、iPad、iPod、iOS和Android等字串,以確認使用者是用桌機或行動裝置,好提供對應的網路釣魚表單。行動用戶要點擊被駭網站上的任一按鈕才會看到假登入表單。為了掩蓋惡意行為,它會設置cookie來計算訪問次數,並在受害者第六次訪問網站後才會出現彈跳式視窗。這cookie也會在最後一次互動後兩小時過期。
繼續閱讀
