聚焦凭据窃取:针对房地产代理商的新型网络钓鱼活动分析

41yf1sh 业务安全 2019年3月14日发布
Favorite收藏

导语:近一段时间,持续有攻击者滥用多个房地产特许经营品牌,针对房地产经纪人发起网络钓鱼活动,旨在获取他们的电子邮件凭据。

近一段时间,持续有攻击者滥用多个房地产特许经营品牌,针对房地产经纪人发起网络钓鱼活动,旨在获取他们的电子邮件凭据。尽管这并非是首次以房地产行业为目标发动攻击,但本文重点描述了攻击者所使用的深入战术、技术和流程(TTP)。作为防御者,可以使用PDF诱饵和凭据收集网站中使用的TTP和图像作为态势感知的情报,以抵御此类攻击。

一、概述

针对房地产行业,进行凭据窃取或电子汇款诈骗并不是新的攻击方式,因为在2018年,在FBI的公众服务报告中,强调了此类活动的增长趋势:

“根据受害者投诉的数据,目前针对房地产行业的BEC/EAC诈骗案件正在上升。从2015年到2017年,上报的BEC/EAC受害者数量增长1100%,上报的经济损失数量增加近2200%。根据受害者的报告,最常见的诈骗方式就是攻击者伪装成一个房地产交易参与者,发送或接收具有欺骗性内容的电子邮件,并指示收件人将付款方式或付款位置更改为诈骗者的账户。”

尽管在FBI的公告中,展现了攻击活动的趋势,这是衡量持续威胁的一个很好地指标,但其中并不包括详细的TTP或可用于检测或缓解的示例。此外,许多博客文章中确实提供了一些房地产网络钓鱼的示例,但这些文章又通常缺少攻击者的整体TTP以及具体针对房地产经纪人的目标。

二、鱼叉式钓鱼附件和恶意链接

攻击者使用类似的图像和语言,以恶意PDF附件的方式实现鱼叉式钓鱼。在PDF附件中,包含重定向到凭据收集网站的嵌入式链接。关于鱼叉式钓鱼附件和鱼叉式钓鱼链接技术,在MITRE ATT&CK中已经给出了准确的定义:

T1193 – 鱼叉式钓鱼附件是鱼叉式钓鱼的特定变体。鱼叉式钓鱼附件不同于其他形式的鱼叉式钓鱼,因为它利用了附加到电子邮件的恶意软件。所有形式的鱼叉式网络钓鱼,都是以电子方式针对特定个人、特定公司或特定行业进行的社会工程学攻击。在这种情况下,攻击者会将文件附加到鱼叉式网络钓鱼的电子邮件中,并且通常依靠用户主动执行来获取运行的权限。

T1192 – 带有链接的鱼叉式网页钓鱼是鱼叉式钓鱼的特定变体。它与其他形式的鱼叉式网络钓鱼的不同之处在于,它使用链接来下载电子邮件中包含的恶意软件,而不是将恶意文件附加到电子邮件之中,从而避免防御产品或防御机制对电子邮件的检测。

在PDF的诱饵中,包含房地产代理商的LOGO、“需要完成验证过程”的语言表述、带有“查看列表中的报价”描述文本的嵌入式链接,以及由WeTransfer(云文件传输服务)加密的消息。

PDF诱饵示例1(品牌信息已隐去):

1.png

cash purchase offer copy.pdf

e8359304b3cb5938f6845b1337eb221236a6bf5a1ca9e8ed7d4d376dae6af8d2

PDF诱饵示例2(品牌信息已隐去):

2.png

home_offer-1jpg.pdf

c1d96b9e5acfead1f1defdc275afb0e2ce1b5217ea95540ee28aa348848baa50

PDF诱饵的元数据:

根据我们对PDF元数据(Metadata)的分析,发现攻击者利用了在线PDF编辑器RAD PDF来创建PDF诱饵。PDF诱饵中包含以下元数据:

制作商:RAD PDF 3.7.5.0 — http://www.radpdf.com

创建工具:RAD PDF

创建者:RAD PDF

上述元数据,可以用于构建类似于YARA的检测签名。

PDF嵌入式链接:

PDF诱饵使用GoDaddy URL Shortener短网址服务x[.]co来对目标URL地址进行伪装。攻击者尽量选取包含与房地产相关联词语的短网址,例如“home”。URI路径“/login/inav=iNavLnkLog/”针对嵌入式链接也是一致的。

PDF诱饵示例3:

hxxp://x[.]co/jumpinhome

hxxps://mykonosfishing[.]gr/wp/login/inav=iNavLnkLog/

PDF诱饵示例4:
hxxp://x[.]co/homesam

hxxs://www[.]atcbearings[.]com/wp-content/plugins/add-to-any/samhome/login/inav=iNavLnkLog/

三、凭据收集网站

作为拦截合法电子邮件凭证的方法,在这些伪造的凭据收集网站中,都使用与原始网站相同的背景图像和整体布局,从而增强迷惑性。网站之间的相同之处表明,凭据收集网站是共享网络钓鱼工具中的一部分,通过简单设置网站内容后,即可轻松伪装成目标站点。

3.png

当潜在受害者选择电子邮件服务商时,会弹出电子邮件和密码的提示。但是,如果用户选择Google电子邮件服务商时,恶意页面上还会添加一个电话号码的字段。攻击者为什么要收集电话号码,我们不得而知,但电话信息可能用于绕过基于短信的双因素身份验证,或者允许攻击者联系房地产代理商,从而继续社会工程学的攻击。

4.png

使用PX Intelligence平台,在提交URL时,系统会自动编译域名信息,并且根据使用的图像,对伪装的品牌进行分类。

5.png

参考:https://www.pxintelligence.com/snapshots/94092/

参考:https://www.pxintelligence.com/snapshots/96416/

3.1 网站的漏洞利用

攻击者正在使用合法网站来托管凭据收集网站。这些合法网站普遍都使用了内容管理系统WordPress,并且凭据获取的内容已经进行了本地化,位于目录“plugins/add-to-any”中。这可能表明,该WordPress插件被利用来托管恶意内容。

攻击者使用了PHP WebShell WSO的4.2.6版本,并进行漏洞利用,这是在可预测的文件路径中找到的。WebShell的定义如下:

T1100 – WebShell是一个Web脚本,放置在可以公开访问的Web服务器上,允许攻击者将Web服务器作为网络的网关。WebShell可以提供一组要执行的功能,或者在托管Web服务器的系统上提供命令行界面。除了服务器端脚本之外,WebShell可能还有一个客户端接口程序,用于与Web服务器通信。

6.png

3.2 网络钓鱼工具包

使用PX Intelligence平台,自动从网站中提取了一个网络钓鱼工具包,并且对该工具包进行了解析,获取到相关的详细信息。在我们拥有了对网络钓鱼工具包的访问权限之后,我们发现了用于收集用户输入凭据的电子邮件地址。针对这一系列恶意活动,攻击者使用了Gmail邮箱来收集所有捕获的凭据。

7.png

除了将捕获到的凭据发送到电子邮件地址之外,网络钓鱼工具包还会将这些凭据写入到凭据收集网站的本地文件中,并且不会受到直接网络访问的限制。针对这一系列恶意活动,网络钓鱼工具包会将捕获的凭据写入到多个日志文件的位置。

8.png

注意:该恶意活动的网络钓鱼工具包目前已从PX Intelligence中删除,因为其中包含了之前恶意活动的受害者凭据。

四、受害者分析

针对此次恶意活动,我们共捕获了10个凭据。在搜索这些捕获的电子邮件或电话号码时,我们发现所有受害者都是房地产的经纪人。尽管与许多凭据收集的网络钓鱼恶意活动相比,该恶意活动捕获到的凭据总数量较低,但这些受害者显然是高价值的目标,并且具有更大的可能性接触到大量金钱。具体而言,这些房地产经纪人会定期与购房者和卖房者沟通,并且攻击者可以找到发送欺诈性汇款信息的机会。此外,攻击者可以利用受害者的联系人和已发送邮件,作为进一步攻击诈骗的手段。

9.png

通过有效帐户获得访问权限的TTO方式定义如下:

T1078 – 攻击者可以使用凭据访问技术,窃取特定用户或服务帐户的凭据,或者通过社会工程学获取初始访问权限,从而在侦查过程的早期实现凭据的捕获。

五、检测和缓解措施

目前,我们已经和相关组织共享了所有的URL、攻击者信息和受害者凭据,以试图将影响降到最低。

5.1 双因素身份验证

攻击者在恶意活动中的目标是获取电子邮件的访问权限,并从中获利。如果使用双因素身份验证,可以降低与单因素凭据相关的风险,并增加攻击者访问电子邮件帐户的难度。

5.2 检测凭据收集网站

使用PX Intelligence等威胁情报源,可以检测凭据收集网站,并提醒安全运营团队注意。

六、参考资源

[1] https://www.ic3.gov/media/2018/180712.aspx

[2] https://attack.mitre.org/techniques/T1193/

[3] https://attack.mitre.org/techniques/T1192/

[4] https://www.radpdf.com/

[5] https://virustotal.github.io/yara/

[6] https://attack.mitre.org/techniques/T1100/

[7] https://attack.mitre.org/techniques/T1078/

七、更多PDF诱饵

尽管不在本文所讨论的范畴之内,但我们发现了一些针对购房者的PDF诱饵。这些PDF诱饵的TTP和图像仍然与房地产行业相关,以此来提高可见度和认知程度,欺骗潜在受害者点击。但这些内容不会影响到房地产代理商。

PDF诱饵示例3(品牌信息已隐去):

10.png

inspection_pdf.pdf

87356e40d88b3e539bfcc1f00499dae2474ee4810f08c014bd108a6d90e0fbe5

PDF诱饵示例4(品牌信息已隐去):

final CDHUD2802.pdf

859caee5546ef63318152c543b1256e25fd9ad74d782484b61b6143b8ab929f9

根据该PDF使用的文件名和背景图像,我们发现该文件伪装成Closing Disclosure(CD)表单,这是美国政府要求的一个流程,以前称为HUD-1统一结算证明。在该表单中,详细展现了与房地产交易相关的成本。

本文翻译自:https://medium.com/@mark_px/closing-on-credential-theft-new-phishing-campaigns-target-real-estate-agents-fab8c53cad59如若转载,请注明原文地址: https://www.4hou.com/business/16717.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论