网络钓鱼攻击使用浏览器扩展工具SingleFile来混淆恶意登录页面

作者:   深圳市网安计算机安全检测技术有限公司 2019/04/09 14:28:18 239次阅读 国际
文章来源:http://www.mottoin.com/detail/3844.html
nxUS6oOLm6hy4a78MaKUySqARxVeU1nzekFQBaiu.png

        网络钓鱼的有效性使其成为网络犯罪分子经常使用的攻击手段。网络钓鱼本身背后的概念很简单——引诱一个毫无防备的受害者下载文件或冒充合法网站来引诱受害者点击链接——但现在网络犯罪分子使用的策略变得越来越复杂。在搜索具有独特登录特征的网络钓鱼网页时,研究人员发现了利用名为SingleFile的合法工具作为混淆方法来规避检测的网络钓鱼攻击。

        SingleFile是Google Chrome和Mozilla Firefox的网络扩展程序,允许用户将网页另存为单个HTML文件。虽然Web浏览器允许用户将页面保存为“.htm”文档,但网页中使用的不同文件有不同的文件夹。可以将完整的页面保存到一个HTML文件中,包括所有CSS和图片等等,让用户即使在一个HTML文档中也能浏览完整内容。但是,它对攻击者来说也很有用,因为研究人员发现他们滥用SingleFile来混淆网络钓鱼攻击。

ThnelIzwrz8fUNTrPhpYSg652p4Al0Lx2YRu8ofj.png

                Chrome版SingleFile的工具选项

        根据样本,研究人员发现网络犯罪分子可以利用SingleFile复制合法网站的登录页面,作为网络钓鱼活动的一部分。生成登录页面的方法非常简单:

        攻击者访问要攻击的网站的登录页面(研究人员发现的样本是支付处理网站Stripe)。然后,他们使用SingleFile保存并生成包含整个页面的文件,包括图片(保存为svg文件)。

        尽管方法很简单,但欺骗方法看起来非常有效,因为它实际上生成了合法登录页面的副本。

1WMemTKmQaGGm96v9kZwByXitWO5RquTQfkjx61e.png


CZ5ZSWCHaIzosG8sJffAXfB5g1wQnexyxXwan42n.png

        原网页与虚假页面对比(唯一比较明显的区别是URL)

pwBIBDcs7ywMtgiOgiKScy3xv65eGTULXYNNXFkX.png

                使用base64编码保存为.svg文件的图像代码

        使用SingleFile创建网络钓鱼登录页面在混淆网络钓鱼攻击方面非常有效,因为与其他混淆方法不同,生成的网络钓鱼页面对静态检测工具隐藏登录表单HTML代码和原始登录页面使用的JavaScript。虽然虚假登录页面显示的URL与原网页完全不同,很容易就会被发现,但更厉害的攻击者可能会使用更合理的网址,使其更对潜在受害者而言更有说服力。

        这些攻击是最近发生的,因为邮件活动是2019年2月27日开始的,研究人员发现的样本是攻击者于2019年2月10日保存的。

tUIvSZ4S1N8vC0BnXTBID1MBsNdvRn5ReMNcujQw.png

        网络钓鱼页面的源代码由SingleFile生成。请注意,仍可在代码中找到页面保存日期和时区等信息。请注意,虽然这里的SingleFile用于恶意目的,但它仍然是个安全的软件。

建议和解决方案

        通过坚持预防网络钓鱼攻击的方法,个人和组织都可以最大限度地减少此攻击的威胁。这些包括以下内容:

        任何具有异常URL的网站都可能是恶意的,因为大多数公司的网站都带有他们的名字或其品牌名称。

一些攻击者创建的URL看起来与官方网站的URL几乎一模一样,但还是有些微的区别。因此,用户应仔细检查他们访问的网站的URL。

        不要轻易点击网站中的链接,也不要轻易下载邮件中的附件。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室