针对韩国网站的钓鱼和水坑***
ang010ela 嘶吼专业版
研究人员发现一起针对韩国网站的钓鱼***活动,该***活动已成功***4家韩国网站,并通过注入伪造的登陆表单来窃取用户凭证。***活动使用了水坑***来注入恶意JS代码到网站中以加载浏览器漏洞利用或窃取金融信息,这种钓鱼活动很少见。
研究人员将该***活动标记为Soula,它通过韩国主流搜索引擎的伪造的登陆屏来收集信息。它会发送记录的凭证到***者的服务器,因此研究人员认为***者仍然在验证和信息收集阶段。
***链
图1. Soula***链
注入的脚本会对网站访问者进行化学,并在主页顶部加载钓鱼表格。它可以扫描HTTP referer header字符串,并检查其中是否含有与主流搜索引擎和社交媒体站点相关的关键字,来验证访问者是否是真实的。因为HTTP referer header会识别到请求的页面的源的地址页,因此检查可以让他识别访问者是否是真实的用户,并过滤机器爬虫或威胁引擎扫描器。
然后脚本会扫描HTTP User-Agent header看是否含有iPhone, iPad, iPod, iOS和Android等字符串来识别用户使用的设备是电脑还是移动设备,然后发送对应的钓鱼表单到受害者。移动用户在点击了任意被黑网站上的按钮就会看到弹出的伪造的登陆表单。为了隐藏恶意活动,只有受害者访问页面6次以上才会启用弹窗,会设置一个cookie来对访问次数进行计数。Cookie有效期会设置为上次弹窗后2小时。
图2. 检查HTTP Referer和HTTP User-Agent的注入脚本
如果设备没有前面列出的字符串,Soula会假定用户使用桌面计算机访问网站。用户会在被黑的网页顶部看到伪造的登陆表单,邀请用户输入用户名和密码后才能继续访问站点。用户信息会字节发送到***者的服务器。为了防止被网站发现,钓鱼脚本设定浏览器cookie为初次交互后的12小时。
研究人员发现注释使用的简体中文,并使用Cloudflare来保护域名,隐藏真实IP地址。研究人员联系了Cloudflare停止为恶意域名提供服务,但是***活动并没有停止。事实上,***者进一步加强了检测绕过的特征。***者对注入被黑的站点的JS脚本增加了混淆,将脚本和钓鱼页面移动到被黑的web服务器来绕过检测和防止域名被移除。
图3.中文注释
图4. 注入的脚本混淆前后对比
结论
考虑到被黑的站点之一是韩国访问量前300的站点,而且搜索引擎主机提供的服务对韩国用户来说是可信的,因此Soula对用户和企业来说都是一个很严重的威胁。***者搜索和连接的内容字符串说明了犯罪分子的潜在计划是影响全球更多用户的更大规模的***活动。
与社会工程钓鱼***相比,这种技术更难追踪,终端用户仍然可以通过多层防护方法来保护自己。研究人员建议用户启用2FA来增加额外的认证过程和步骤。同时要从合法厂商处及时下载更新,并启用内容安全策略来防止非授权的访问以及远程注入脚本的漏洞利用使用。
标签:脚本,HTTP,钓鱼,网站,用户,水坑,韩国 来源: https://blog.51cto.com/u_15127538/2702542
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。