聚焦凭据窃取：针对房地产代理商的新型网络钓鱼活动分析

41yf1sh 业务安全 2019-03-14 11:35:14

207513

导语：近一段时间，持续有攻击者滥用多个房地产特许经营品牌，针对房地产经纪人发起网络钓鱼活动，旨在获取他们的电子邮件凭据。

近一段时间，持续有攻击者滥用多个房地产特许经营品牌，针对房地产经纪人发起网络钓鱼活动，旨在获取他们的电子邮件凭据。尽管这并非是首次以房地产行业为目标发动攻击，但本文重点描述了攻击者所使用的深入战术、技术和流程（TTP）。作为防御者，可以使用PDF诱饵和凭据收集网站中使用的TTP和图像作为态势感知的情报，以抵御此类攻击。

一、概述

针对房地产行业，进行凭据窃取或电子汇款诈骗并不是新的攻击方式，因为在2018年，在FBI的公众服务报告中，强调了此类活动的增长趋势：

“根据受害者投诉的数据，目前针对房地产行业的BEC/EAC诈骗案件正在上升。从2015年到2017年，上报的BEC/EAC受害者数量增长1100%，上报的经济损失数量增加近2200%。根据受害者的报告，最常见的诈骗方式就是攻击者伪装成一个房地产交易参与者，发送或接收具有欺骗性内容的电子邮件，并指示收件人将付款方式或付款位置更改为诈骗者的账户。”

尽管在FBI的公告中，展现了攻击活动的趋势，这是衡量持续威胁的一个很好地指标，但其中并不包括详细的TTP或可用于检测或缓解的示例。此外，许多博客文章中确实提供了一些房地产网络钓鱼的示例，但这些文章又通常缺少攻击者的整体TTP以及具体针对房地产经纪人的目标。

二、鱼叉式钓鱼附件和恶意链接

攻击者使用类似的图像和语言，以恶意PDF附件的方式实现鱼叉式钓鱼。在PDF附件中，包含重定向到凭据收集网站的嵌入式链接。关于鱼叉式钓鱼附件和鱼叉式钓鱼链接技术，在MITRE ATT&CK中已经给出了准确的定义：

T1193 – 鱼叉式钓鱼附件是鱼叉式钓鱼的特定变体。鱼叉式钓鱼附件不同于其他形式的鱼叉式钓鱼，因为它利用了附加到电子邮件的恶意软件。所有形式的鱼叉式网络钓鱼，都是以电子方式针对特定个人、特定公司或特定行业进行的社会工程学攻击。在这种情况下，攻击者会将文件附加到鱼叉式网络钓鱼的电子邮件中，并且通常依靠用户主动执行来获取运行的权限。

T1192 – 带有链接的鱼叉式网页钓鱼是鱼叉式钓鱼的特定变体。它与其他形式的鱼叉式网络钓鱼的不同之处在于，它使用链接来下载电子邮件中包含的恶意软件，而不是将恶意文件附加到电子邮件之中，从而避免防御产品或防御机制对电子邮件的检测。

在PDF的诱饵中，包含房地产代理商的LOGO、“需要完成验证过程”的语言表述、带有“查看列表中的报价”描述文本的嵌入式链接，以及由WeTransfer（云文件传输服务）加密的消息。

PDF诱饵示例1（品牌信息已隐去）：

cash purchase offer copy.pdf

e8359304b3cb5938f6845b1337eb221236a6bf5a1ca9e8ed7d4d376dae6af8d2

PDF诱饵示例2（品牌信息已隐去）：

home_offer-1jpg.pdf

c1d96b9e5acfead1f1defdc275afb0e2ce1b5217ea95540ee28aa348848baa50

PDF诱饵的元数据：

根据我们对PDF元数据（Metadata）的分析，发现攻击者利用了在线PDF编辑器RAD PDF来创建PDF诱饵。PDF诱饵中包含以下元数据：

制作商：RAD PDF 3.7.5.0 — http://www.radpdf.com

创建工具：RAD PDF

创建者：RAD PDF

上述元数据，可以用于构建类似于YARA的检测签名。

PDF嵌入式链接：

PDF诱饵使用GoDaddy URL Shortener短网址服务x[.]co来对目标URL地址进行伪装。攻击者尽量选取包含与房地产相关联词语的短网址，例如“home”。URI路径“/login/inav=iNavLnkLog/”针对嵌入式链接也是一致的。

PDF诱饵示例3：

hxxp://x[.]co/jumpinhome

hxxps://mykonosfishing[.]gr/wp/login/inav=iNavLnkLog/

PDF诱饵示例4：
hxxp://x[.]co/homesam

hxxs://www[.]atcbearings[.]com/wp-content/plugins/add-to-any/samhome/login/inav=iNavLnkLog/

三、凭据收集网站

作为拦截合法电子邮件凭证的方法，在这些伪造的凭据收集网站中，都使用与原始网站相同的背景图像和整体布局，从而增强迷惑性。网站之间的相同之处表明，凭据收集网站是共享网络钓鱼工具中的一部分，通过简单设置网站内容后，即可轻松伪装成目标站点。

当潜在受害者选择电子邮件服务商时，会弹出电子邮件和密码的提示。但是，如果用户选择Google电子邮件服务商时，恶意页面上还会添加一个电话号码的字段。攻击者为什么要收集电话号码，我们不得而知，但电话信息可能用于绕过基于短信的双因素身份验证，或者允许攻击者联系房地产代理商，从而继续社会工程学的攻击。

使用PX Intelligence平台，在提交URL时，系统会自动编译域名信息，并且根据使用的图像，对伪装的品牌进行分类。

参考：https://www.pxintelligence.com/snapshots/94092/

参考：https://www.pxintelligence.com/snapshots/96416/

3.1 网站的漏洞利用

攻击者正在使用合法网站来托管凭据收集网站。这些合法网站普遍都使用了内容管理系统WordPress，并且凭据获取的内容已经进行了本地化，位于目录“plugins/add-to-any”中。这可能表明，该WordPress插件被利用来托管恶意内容。

攻击者使用了PHP WebShell WSO的4.2.6版本，并进行漏洞利用，这是在可预测的文件路径中找到的。WebShell的定义如下：

T1100 – WebShell是一个Web脚本，放置在可以公开访问的Web服务器上，允许攻击者将Web服务器作为网络的网关。WebShell可以提供一组要执行的功能，或者在托管Web服务器的系统上提供命令行界面。除了服务器端脚本之外，WebShell可能还有一个客户端接口程序，用于与Web服务器通信。

3.2 网络钓鱼工具包

使用PX Intelligence平台，自动从网站中提取了一个网络钓鱼工具包，并且对该工具包进行了解析，获取到相关的详细信息。在我们拥有了对网络钓鱼工具包的访问权限之后，我们发现了用于收集用户输入凭据的电子邮件地址。针对这一系列恶意活动，攻击者使用了Gmail邮箱来收集所有捕获的凭据。

除了将捕获到的凭据发送到电子邮件地址之外，网络钓鱼工具包还会将这些凭据写入到凭据收集网站的本地文件中，并且不会受到直接网络访问的限制。针对这一系列恶意活动，网络钓鱼工具包会将捕获的凭据写入到多个日志文件的位置。

注意：该恶意活动的网络钓鱼工具包目前已从PX Intelligence中删除，因为其中包含了之前恶意活动的受害者凭据。

四、受害者分析

针对此次恶意活动，我们共捕获了10个凭据。在搜索这些捕获的电子邮件或电话号码时，我们发现所有受害者都是房地产的经纪人。尽管与许多凭据收集的网络钓鱼恶意活动相比，该恶意活动捕获到的凭据总数量较低，但这些受害者显然是高价值的目标，并且具有更大的可能性接触到大量金钱。具体而言，这些房地产经纪人会定期与购房者和卖房者沟通，并且攻击者可以找到发送欺诈性汇款信息的机会。此外，攻击者可以利用受害者的联系人和已发送邮件，作为进一步攻击诈骗的手段。