利用 WOFF 模糊和电报渠道进行通信

FireEye Email Security 最近遇到了各种钓鱼攻击，它们主要来自美洲和欧洲，使用源代码混淆受损或错误的域名。这些域名伪装成真实的网站并窃取了信用卡数据等个人信息。然后，被窃取的信息被共享给跨平台、基于云的即时消息传递应用程序。

在繁忙的假期前夕，交付量激增，这篇文章重点介绍了一个涉及假 DHL 跟踪页面的网络钓鱼活动。尽管针对航运服务用户的网络钓鱼攻击并不新鲜，但这些示例中使用的技术比现有的网络钓鱼工具包中的技术更为复杂。

该行动中使用了基于 WOFF 的替代密码，针对本地化的目标定位以及各种逃避技术，我们将在此博客中进行阐述。

攻击流程

攻击从一封模仿 DHL 的电子邮件开始，如图 1 所示。该电子邮件试图诱使收件人单击链接，这会将他们带到虚假的 DHL 网站。在图 2 中，我们可以看到伪造的页面要求提供信用卡详细信息，如果提交了信用卡详细信息，则将向用户提供一般响应，同时在后台将信用卡数据与攻击者共享。

图 1：DHL 网络钓鱼尝试

图 2：模仿 DHL 跟踪的虚假网站

此 DHL 网络钓鱼活动使用了一种罕见的技术来混淆其源页面。页面源包含正确的字符串、有效的标记和格式，但是其所包含编码的文本将在加载页面之前呈现出乱码而无需解码，如图 3 所示。通常，对此类文本进行解码是通过在代码中包含脚本函数来完成的。但是在这种情况下，脚本中不包含解码函数。

图 3：页面源中的编码文本片段

解码是由一个 Web 开放字体格式（WOFF）字体文件完成的，该文件在将页面加载到浏览器中时发生，并且在页面内容本身中不可见。图 4 显示了替换密码方法和 WOFF 字体文件。攻击者这样做是为了逃避安全厂商的检测，许多安全厂商使用基于静态或 regex 签名的规则，因此此方法将打破那些基于以往的规则。

图 4：WOFF 替换密码

在层叠样式表（CSS）中加载这个解码文本的自定义字体。由于 JavaScript 函数通常用于加密和解密 HTML 文本，因此这种技术很少见。

图 5：用于加载 WOFF 字体文件的 CSS 文件

图 5 显示了用于加载 WOFF 字体文件的 CSS 文件。我们还看到了相同的 CSS 文件 style.css，托管在以下域上：

· hxxps：//www.lifepointecc [。] com / wp-content / sinin / style.css

·hxxps：// candyman-shop [。] com / auth / DHL_HOME / style.css

· hxxps：//mail.rsi-insure [。] com / vendor / ship / dhexpress / style.css

·hxxps：//www.scriptarticle [。] com / thro / HOME / style.css

到目前为止，这些看起来合法的域名尚未托管任何钓鱼网站。相反，它们似乎是攻击者可以在其网络钓鱼活动中使用的存储库。过去，我们曾看到过类似的针对银行业的网络钓鱼攻击，但这对于快递网站来说是较为稀有的。

重要的技术

本土化

网上诱骗页面根据目标用户的区域显示本地语言。本地化代码（图 6）支持在欧洲和美洲使用的主要语言，例如西班牙语、英语和葡萄牙语。

图 6：本地化代码

后端包含每种受支持语言的 PHP 资源文件（图 7），这些资源文件是根据用户的 IP 地址位置动态获取的。

图 7：语言资源文件

逃避

该活动采用了多种技术来逃避检测。如果请求来自某些被阻止的 IP 地址，则该页面将不提供钓鱼页面。在以下情况下，后端代码（图 8）为用户提供“ HTTP / 1.1 403 Forbidden”响应 header：

· IP 被查看过五次（AntiBomb_User func）

·IP 主机解析为其禁止使用的主机名列表（'google', 'Altavista', 'Israel', 'M247', 'barracuda', 'niw.com.au' and more) (AntiBomb_WordBoot func)

· IP 位于其自身的本地阻止列表 csv（工具包中的 x.csv）中（AntiBomb_Boot func）

·IP 已经发布过 3 次帖子（AntiBomb_Block func）

图 8：后端规避代码

在查看被阻止主机的列表之后，我们可以推断出攻击者正在尝试阻止 Web 爬虫。

数据盗窃

网络钓鱼活动背后的攻击者试图窃取凭证、信用卡数据和其他敏感信息。窃取的数据将发送到攻击者控制的电子邮件地址和电报通道。我们发现了一个 Telegram 通道，该通道使用图 9 所示的 Telegram Bot API 发送数据。

图 9：聊天记录

虽然使用 php mail（）函数发送被盗的凭证非常普遍，但是在不久的过去，加密的即时消息传递应用程序（例如 Telegram）已被用于将钓鱼信息发送回命令和控制服务器。

我们能够访问由攻击者控制的电报通道之一，如图 10 所示。聊天中发送的敏感信息包括 IP 地址和信用卡数据。

图 10：信息被盗的电报频道

结论

攻击者（尤其是网络钓鱼者）一直在寻找逃避安全产品检测的新方法。模糊处理为攻击者提供了方便，并使安全供应商更难保护其客户。

通过使用即时消息传递应用程序，攻击者可以实时获取用户数据，一旦受害者的个人信息遭到破坏，受害者几乎没有任何反应。

妥协指标（IOC）

FireEye Email Security 利用 FAUDE（FireEye 高级 URL 检测引擎）保护客户免受此类网络钓鱼威胁的侵害。与依赖于网络钓鱼 URL 内容的静态检查的传统反网络钓鱼技术不同，FAUDE 使用多个人工智能（AI）和机器学习（ML）引擎来更有效地阻止这些攻击。

从 2020 年 12 月到发布之时，我们的 FAUDE 检测引擎看到了 100 多个独特的 URL，这些 URL 托管 DHL 网络钓鱼页面，其中包含模糊的源代码，包括：

· hxxps：// bit [。] ly / 2KJ03RH

· hxxps：// greencannabisstore [。] com / 0258 / redirect-new.php

· hxxps：// directcallsolutions [。] co [。] za / CONTACT / DHL_HOME /

· hxxps：// danapluss [。] com / wp-admin / dhl / home /

· hxxp：//r.cloudcyberlink [。] digital /

电子邮件地址

medmox2k@yandex[.]com

o.spammer@yandex[.]com

cameleonanas2@gmail[.]com

电报用户

@Saitama330

@cameleon9

style.css

Md5: 83b9653d14c8f7fb95d6ed6a4a3f18eb)

Sha256: D79ec35dc8277aff48adaf9df3ddd5b3e18ac7013e8c374510624ae37cdfba31

font-woff2

MD5: b051d61b693c76f7a6a5f639177fb820

SHA-256: 5dd216ad75ced5dd6acfb48d1ae11ba66fb373c26da7fc5efbdad9fd1c14f6e3

域

网址