2020年基于PDF的网络钓鱼活动研究报告

安全
Palo Alto Networks总结了2020年钓鱼攻击中PDF文件使用的五大套路,分别为:假验证码、优惠券、假播放图标、文件共享和电子商务。

[[396209]]

概述

2019-2020年间,Palo Alto Networks安全团队检测到的恶意PDF文件从411,800个激增到5224,056个,增幅高达1,160%。PDF文件有跨平台及便于交互的特点,常被用作钓鱼活动的载体,相较传统的“纯文本+链接”形式的钓鱼邮件也更容易让受害者放松警惕。钓鱼PDF文件会以各种形式吸引受害者点击,Palo Alto Networks总结了2020年钓鱼攻击中PDF文件使用的五大套路,分别为:假验证码、优惠券、假播放图标、文件共享和电子商务。

数据概览

2020年,我们观察到了超过500万个恶意PDF文件。表1显示了与2019年与2020年数据的比较。

2020年基于PDF的网络钓鱼活动研究报告

表1. 2019和2020年恶意PDF样本数据比对

图1所示的饼图概述了恶意PDF样本中主要类别的分布占比,可以看出假冒验证码的形式占比最高,达到了38.67%。下文将细述各个类别的主要形式,“其他”类别的内容不在探讨范畴内,它们变化类型比较多,没有共同主题,很难归纳分类。

图1. 2020年恶意PDF样本中主要类别的分布占比

流量重定向的使用

在回顾不同的PDF钓鱼活动之前,我们先讨论流量重定向的重要性。钓鱼PDF文件中的嵌入式链接通常会先转到正规的门户网站,再重定向到恶意站点,攻击者很少会直接嵌入钓鱼网站链接,否则会大幅增加网站被关闭的风险。此外,重定向技术能让攻击者根据自身需求更改最终钓鱼站点,比如将最后的网站从窃取证书的网站更改为信用卡欺诈网站等。

PDF文件的网络钓鱼趋势

我们从调查样本中归纳了攻击者最常使用的前五种钓鱼方案,接下来进行细述。

1.伪造验证码

顾名思义,此类PDF文件要求用户通过伪造的验证码进行验证。验证码是质询响应测试,可帮助确定用户是否为人类,我们观察到的此类PDF文件并没有使用真正的验证码,而都是使用了嵌入的验证码图像。一旦用户试图通过点击“继续”按钮来“验证”自己,就会被带到攻击者控制的网站。图2显示了嵌入式假验证码的PDF文件示例。文件的完整攻击链的详细分析参见后文假验证码分析部分。

图2.嵌入式假验证码钓鱼PDF示例

2.优惠券

这类钓鱼文件以优惠券为主题,我们观察到的样本大多都带有著名石油公司的徽标,且文件中俄语比例占比很高,图3显示了这类钓鱼PDF文件的示例:

图3.具有著名石油公司徽标的钓鱼PDF文件,图中文字要求用户单击图片

通过分析其中的几个样本,发现它们使用了两个流量重定向器。图4显示了其中一个样本链。

 

图4.优惠券主题样本的攻击链

用户在某门户网站被重定向到站点(track [.] backtoblack.xyz),该网站本身就是重定向器,最终通过GET请求导向到某成人约会网站,如图5所示。所有这些重定向都是通过HTTP 302响应消息发生。进一步发现,backtoblack[.]xyz的offer_id参数最终控制用户访问的网站。

图5.将用户吸引到成人约会网站的注册页面上的PDF示例

3.带有假播放按钮的静态图像

这类网络钓鱼文件大多是带有播放按钮的静态图像,其中很大一部分使用了裸露图像或比特币、股票图表等诱使用户单击播放按钮。图6显示了带有比特币标志和播放按钮的PDF文件。

[[396213]]

图6.带有播放按钮的比特币图

在点击play按钮时,用户被重定向到另一个网站。在大多数测试中,重定向到的站点都是https://gerl-s[.]online/?s1=ptt1,也是个在线约会网站。与先前的活动不同的是,这里只涉及一个重定向器,并且所有重定向器的格式为:6位字母数字唯一标识,后跟一个主域,如下所示。

http://pn9yozq[.]sed.notifyafriend.com/

http://l8cag6n[.]sed.theangeltones.com/

http://9ltnsan[.]sed.roxannearian.com/

http://wnj0e4l[.]sed.ventasdirectas.com/

http://x6pd3rd[.]sed.ojjdp.com/

http://ik92b69[.]sed.chingandchang.com/

http://of8nso0[.]sed.lickinlesbians.com/

4.文件共享

图7.带有某文件共享平台图标的网络钓鱼PDF,要求用户单击进行访问

此类网络钓鱼PDF文件利用流行在线文件共享服务来诱骗用户。攻击者通知用户有人与他共享了文档,但由于文件显示异常,用户看不到内容,需要单击嵌入的按钮或链接。图7显示了一个带有Dropbox标志的PDF文件,要求用户单击按钮以请求访问。图8显示了带有OneDrive标志的PDF文件图片,要求用户单击“Access Document”以查看文件的内容。随着基于云的文件共享服务数量的增加,这类威胁也处于快速增长的阶段。

图8.要求用户点击“Access Document”来查看共享文件的钓鱼PDF文件

用户单击“Access Document”后,网站跳转到Atlassian登录页面,如图9所示。有两个选项可用于登录:Microsoft电子邮件或其他电子邮件服务。

图9.钓鱼网站要求用户选择登录方式

Atlassian Stack是面向企业的,因此可以预设这类钓鱼针对的是企业用户。伪造的登录页面看上去与真实网站的登录页面无异,但URL会提示页面非法,如图10所示。

图10.Microsoft的伪造登录页面,URL显示该页面非法

用户输入电子邮件地址后,会跳转到另一个页面要求输入密码,如图11所示。

图11.伪造的输入密码页面,URL指示该页面为欺诈站点

窃取的凭证通过GET请求中的参数发送到攻击者的服务器上,如图12所示。

图12.凭据通过GET请求提交给攻击者的服务器

5.电子商务

以电子商务为主题的钓鱼邮件中并不是什么新鲜事,但在整体数量上呈上升趋势。图13显示了一个钓鱼PDF文件示例,内容是通知用户其信用卡不再有效,需要“更新付款信息”才能不中断其Amazon Prime权益。图14类似,告知用户需要单击链接来更新信息,否则将其Apple ID帐户暂停。

图13.通知用户信用卡不再有效的钓鱼PDF文件示例

图14.告知用户需要单击链接来更新信息的钓鱼PDF文件示例

这些以电子商务为主题的PDF文件大多数都使用https://t.umblr[.]com/进行重定向。

假验证码分析

在2020年的网络钓鱼PDF文件中,有近40%属于伪造的验证码类别。图15显示了伪造的验证码样本(SHA256:21f225942de6aab545736f5d2cc516376776d3f3080de21fcb06aa71749fc18f)的十六进制内容。可以看到PDF文件具有一个嵌入式的统一资源标识符(URI),该标识符指向https://ggtraff[.]ru/pify?keyword=download+limbo+apk+full+game的流量重定向器。如前所述,流量重定向网站并不指向一个固定的网站,它们经常将用户重定向到不同的网站。

图15.假验证码示例中的嵌入式URL

图16是我们在一次尝试中从上述URI获得的HTTP响应主体。重定向器返回的响应是一个小的JavaScript代码存根,可再次重定向用户,但这一次是: https://robotornotcheckonline[.]xyz/?p=miywentfmi5gi3bpgizdqnzv&sub1=wbly&sub3=1h6oih4jofeu&sub4=download+limbo+apk+full+game。

图16.将用户重定向到robotornotcheckonline.xyz的URL

图16中的链接响应是一个多功能JavaScript代码,如图17所示。

图17.要求用户订阅推送通知的JavaScript代码

上面列出的代码注册了浏览器推送通知。Mozilla对浏览器推送通知的描述如下:“ Notifications API允许网页或应用发送在系统级别显示在页面外的通知;这样一来,即使应用程序处于空闲状态或在后台,Web应用程序也可以将信息发送给用户。”图18显示了在浏览器中访问网站时的许可请求。

图18. robotornotcheckonline [.] xyz要求用户订阅其推送通知

单击“允许”,用户被重定向到另一个网站,要求他们订阅另一个推送通知。当用户同意并订阅推送通知时,将调用图17中的函数SubS(),函数发送POST请求让控制器知道用户已订阅。图19显示了特定的POST请求。可以看到,有一些参数具有唯一的值,如“key”和“secret”。

图19. POST请求通知控制器用户已订阅通知

这种循环可以持续几次,需要注意的是,该站点并不一定要在浏览器中打开才能弹出通知。攻击链完成后,我们注意到浏览器中注册了两个推送通知,如图20所示,用于未来弹出广告网站和扩展安装。

图20.假验证码样本注册了两个推送通知

最后,我们登陆了一个在线游戏网站。使用了以下HTTP GET请求:

https://promo[.]???.com/glows-27628/na-en/?pub_id=1374&xid=600889fbf85ac2000110370d&xid_param1=3047954&xid_param_2=&sid=SIDQVeAYOu1UbRxwVV690c-yVM5sWOOfDAb7-h_jd_AIcFGJbFBhqkUXwCszxjNr_9eJ1uoX1OdKr3vILRvqtbg9mcdeMNy5zbavbbqOxtJwEYgn1l5htPFMCsWv3Ft45e5BLHmpA0DQLcy&enctid=c8o8xirbufyh&lpsn=WOWS+TMPLT1+CODE+BOOM+global&foris=1&utm_source=wlap&utm_medium=affiliate&utm_campaign=qmk1qpm1&utm_content=1374

上述GET请求涉及很多参数,我们假设攻击者就是通过这种方式产生收入的。这些标识符能告诉网站所有者用户的到达路径,攻击者则从中获得相应佣金。Urchin跟踪模块参数也用于评估这种“营销”方法的有效性。为了保持收入流,而不是一次性点击,攻击者使用通知机制欺骗订阅用户点击更多链接,从而产生更多收入。如前所述,假验证码钓鱼样本具有的嵌入链接指向流量重定向网站,在每次访问时将用户重定向到其他网站。为了更好地了解这些钓鱼文件还能将我们引向何处,我们多访问了几次。在其中一个案例中,有一个页面要求订阅推送通知,还被要求下载谷歌Chrome扩展,如图21所示。

图21.重定向网站要求订阅用户推送通知并下载Chrome扩展程序

单击“添加到Chrome”后,跳转到了Chrome网上应用店(CWS)。图22显示了CWS上的扩展,下载量超过一千。

图22. HDSportSearch插件,在Chrome网上应用店的下载次数超过1000

下载并分析了扩展程序后,捆绑在扩展程序包中的manifest.json文件表明,HDSportSearch扩展程序是一个搜索引擎劫持者,它覆盖了浏览器的搜索引擎默认值,如图23所示。

图23. HDSportSearch插件的manifest.json会覆盖Chrome的设置

图24总结了我们能够使用伪造的验证码查找PDF仿冒文件的路径。

图24.带有假验证码的PDF可以采取的路径和操作

结论

我们介绍了2020年最常见的基于PDF的网络钓鱼活动及其分发情况。近年来的数据表明,网络钓鱼攻击的数量持续增加,社交工程是攻击者利用用户的主要媒介。先前的研究表明,大型网络钓鱼活动的点击率最高可达8%。因此,用户需要提高警惕,仔细验证意外收到的文件,哪怕这些文件打着知名网站的旗号也是如此。

本文翻译自:https://unit42.paloaltonetworks.com/phishing-trends-with-pdf-files/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2023-08-18 12:09:44

2021-01-14 10:26:19

AIAI+医疗医疗知识图谱

2020-12-29 14:48:03

人工智能人工智能应用人工智能产业

2020-03-17 15:19:29

数字化数据中心

2014-08-04 14:50:33

WIFI

2017-08-15 15:28:02

2017-07-17 11:29:25

2009-10-30 14:55:07

网络社区

2011-07-25 10:36:14

SOA云计算

2021-10-25 08:00:26

Google漏洞YouTube

2021-10-22 12:56:48

网络钓鱼黑客网络攻击

2017-06-02 15:26:48

CIO生态实践研究

2011-09-19 13:53:48

Android研究报告

2022-02-16 07:37:36

恶意文档网络钓鱼攻击

2017-07-20 12:25:06

2015-11-27 17:28:58

2023-08-29 22:38:56

2020-03-14 14:05:17

开源漏洞语言

2018-08-31 20:51:16

大型企业云平台云计算

2024-01-05 16:32:50

点赞
收藏

51CTO技术栈公众号