Cyble 研究与情报实验室 (CRIL) 的研究人员发现了一个基于二维码的网络钓鱼活动,该活动使用伪装成某机构官方文件的恶意 Word 文档。用户被诱骗在身份验证和认证流程的幌子下提供银行卡详细信息和密码。
基于二维码的网络钓鱼活动
今年,二维码钓鱼攻击大幅升级,网络犯罪分子利用该技术窃取个人和财务信息。威胁行为者 (TA) 在办公文档中嵌入二维码,并将用户重定向到旨在窃取敏感数据的欺诈网站。
在不断发展的网络威胁形势下,出现了一种新的媒介:基于二维码的网络钓鱼活动。网络犯罪分子越来越多地将二维码嵌入恶意文档中,扫描后会将用户引导至欺诈网站。这种策略在 2024 年显著增加,这是在 COVID-19 大流行期间开始的趋势,当时二维码被广泛用于非接触式交易和信息共享。
Hoxhunt Challenge强调,2023 年末二维码网络钓鱼增加了 22%,而 Abnormal Security 的研究表明,89.3% 的此类攻击旨在窃取凭证。
人们对二维码的熟悉程度越来越高,这造成了一种虚假的安全感,使网络犯罪分子更容易利用它们。二维码可以掩盖目标网址,使用户无法轻松验证他们被重定向到的网站的合法性。
最近的二维码活动和技术
最近,Cyble 研究与情报实验室发现了一个针对中国公民的复杂网络钓鱼活动。该活动使用嵌入二维码的 Microsoft Word 文档,通过垃圾邮件附件分发。这些文档被设计成来自某政府网站的官方通知,提供 1000 元以上的劳动力补贴来引诱受害者。
这些文件经过精心制作,看上去很真实,带有官方徽标和模仿政府通讯的语言。一旦扫描文件中的二维码,它就会将用户重定向到一个旨在收集敏感信息的钓鱼网站。
此次攻击活动之所以引人注目,是因为它使用了域名生成算法 (DGA),该算法会生成一系列看似随机的域名。DGA 是一个生成大量新域名的程序。网络犯罪分子和僵尸网络运营商通常使用它来频繁更改用于发起恶意软件攻击的域名。这种技术使黑客能够避开阻止特定域名和静态 IP 地址的恶意软件检测解决方案。
最新的攻击活动并非孤立事件。Fortinet 于 2023 年 1 月记录了类似的网络钓鱼行动,网络犯罪分子冒充了另一个机构。二维码网络钓鱼攻击的再次出现表明针对中国公民的威胁持续存在,恶意行为者不断改进策略以逃避检测。
二维码网络钓鱼流程
钓鱼过程始于用户扫描恶意 Word 文档中的二维码。此操作将用户带到钓鱼网站,该网站最初会显示一个对话框,承诺提供劳动力补贴。该网站设计得非常官方,带有政府徽标和正式语言,以提高可信度。
钓鱼网站要求用户提供个人信息,首先是姓名和身份证号。此步骤是申请补贴的必要步骤。用户输入这些信息后,会转到第二个页面,要求提供详细的银行卡信息,包括卡号、电话号码和余额。这些信息表面上是身份验证和处理补贴所必需的。
在收集到银行卡信息后,钓鱼网站会要求用户等待信息“验证”。等待时间是一种让验证过程看起来更合法的策略。之后,网站会以进一步验证为幌子,提示用户输入银行卡密码。
该密码疑似与国内信用卡交易的支付密码相同,威胁者通过获取该密码以及信用卡信息,可进行非法交易,导致受害者遭受重大经济损失。
网络钓鱼活动技术 IoC
当用户扫描Word 文档中嵌入的二维码时,网络钓鱼活动就开始了。此操作会将用户引导至链接“hxxp://wj[.]zhvsp[.]com”。然后,此初始 URL 会重定向到使用 DGA 创建的子域“tiozl[.]cn”。使用 DGA 意味着网络钓鱼 URL 会不断变化,因此更难以预先阻止。
域名“tiozl[.]cn”托管在 IP 地址“20.2.161[.]134”上。此 IP 地址与多个其他域名相关联,表明存在大规模网络钓鱼操作。与此活动相关的域名是:
– 2wxlrl.tiozl[.]cn
– op18bw[.]tiozl.cn
– gzha31.tiozl[.]cn
– i5xydb[.]tiozl.cn
– hzrz7c.zcyyl[.]com
进一步调查发现,与 IP 地址“20.2.161[.]134”关联的 SSH 服务器主机密钥的 SHA-256 指纹与其他 18 个 IP 相关联,这些 IP 均位于同一自治系统编号 (ASN) AS8075 内,且位于香港。这些 IP 托管具有类似模式的 URL,表明有人协同部署了多个钓鱼网站。
二维码钓鱼攻击的增多凸显了网络犯罪分子日益精明和适应性强的现象。这些攻击利用二维码的广泛使用(尤其是在后疫情时代),有效地诱骗用户泄露敏感的财务信息。
最近针对中国公民的攻击活动凸显了这种威胁的严重性,因为恶意攻击者使用看似官方的文件来收集信用卡详细信息和密码,导致重大财务损失。这一趋势强调了提高警惕和采取强有力的安全措施以防范此类不断演变的威胁的必要性。
缓解建议
为了降低二维码网络钓鱼攻击的风险,CRIL 表示遵循以下网络安全最佳实践至关重要:
1. 仅从可信来源扫描二维码:避免扫描未经请求的电子邮件、消息或文档中的代码,尤其是那些提供经济奖励或紧急行动的代码。
2. 在继续之前验证 URL:扫描二维码后,仔细检查 URL 的合法性,例如官方域名和安全连接(https://)。
3. 安装信誉良好的防病毒和反网络钓鱼软件:这些工具可以检测并阻止恶意网站和下载。
4. 随时了解网络钓鱼技术:让自己和他人了解与二维码相关的风险,以防止成功的网络钓鱼攻击。
5. 使用双因素身份验证 (2FA):这增加了一层额外的安全保护,使攻击者更难获得未经授权的访问。
6. 保持软件更新:确保您的操作系统、浏览器和应用程序已更新最新的安全补丁,以防止已知漏洞。
7. 使用安全的二维码扫描器应用程序:考虑使用在打开 URL 之前将其与已知恶意网站数据库进行检查的应用程序。
8. 定期监控财务报表:检查您的银行和信用卡报表中是否存在未经授权的交易,并立即报告任何可疑活动。
转载自安全客