威胁者在为期两天的网络钓鱼攻击活动中冒充美国交通部(USDOT),他们通过使用多种策略,为了使攻击活动看起来更合法,他们还创建了虚假的联邦网站的域名, 来逃避安全检测。
在8月16日至18日期间,研究人员共发现了41封钓鱼邮件,这些邮件都以国会最近通过的1万亿美元基础设施方案中的项目投标为诱饵进行诈骗。
此次攻击活动主要以工程、能源和建筑等行业的公司为攻击目标,这些公司可能会与美国交通部合作,并向潜在的受害者发送诈骗电子邮件,其中他们被告知,美国交通部正邀请他们通过点击一个带有 "点击这里投标 "字样的巨大的蓝色按钮来提交一个部门项目的投标。
这些电子邮件是从亚马逊8月16日注册的一个域名transportationgov[.net]发出的。根据它的创建日期,似乎表明该网站正是专门为网络钓鱼活动设立的。
对于熟悉政府网站的人来说,政府网站通常会有一个.gov的后缀,从这方面来看,这个域名会显得很可疑。然而,对于习惯于快速浏览的人来说,这个域名看起来可能像是一个正规的网站。
欺骗受害者
如果人们点击链接,他们会被引导到transportation.gov.bidprocure.secure.akjackpot[.com]网站,有'transportation'、'gov'和'secure'等看起来很正规的子域名。然而,该网站的基础域名akjackpot[.]com实际上是在2019年注册的,该基础域名上可能运行的是一个马来西亚人的在线赌场网站。要么该网站已经被劫持了,要么网站的所有者本身就是利用它来冒充美国联邦贸易委员会的钓鱼者。
一旦进入了假的投标网站,用户就会被指示点击一个 "投标 "按钮,并用他们的电子邮件提供商进行登录。它还指示他们如果有任何问题,可以与另一个假域名mike.reynolds@transportationgov[.]us的所有者进行联系。
一旦受害者关闭了指示,他们就会被引导到一个与真实的美国交通部网站非常相像的网站上,这个网站其实是攻击者将政府网站的HTML和CSS复制到他们的主机上做出来的。
在诈骗完成之后,威胁者还复制和粘贴了一个关于如何验证美国政府网站真实性的警告,这样可以提醒受害者,他们被骗了,因为他们意识到这个钓鱼网站的域名是以.com结尾,而不是.gov或.mil。
一旦进入这个假冒的美国交通部网站,受害者就会被邀请点击一个 "点击这里投标 "按钮,还会出现一个带有微软标志和 "用你的电子邮件提供商登录 "指示的凭证收集表格。第一次尝试输入凭证时会遇到ReCAPTCHA验证,合法网站一般会将其作为网站的安全组件。然而,攻击者在这时就已经获取了凭证。
如果受害者第二次尝试输入证书,就会出现一个错误信息,然后他们会被引导到真正的美国交通部网站,钓鱼者经常将这一步作为最后一步来进行执行。
躲避设备的检测
虽然攻击者在他们的攻击活动中没有使用任何新的网络钓鱼技巧,但正是这种新模式的战术组合使他们能够绕过安全的电子邮件网关来进行攻击。
创建一个新的域名,巧妙的利用当前的事件,冒充一个著名的机构,就可以发起一次凭证窃取攻击,这些钓鱼攻击者想出了一个与所有已知攻击刚好不同的攻击方式,很好的躲避了标准的检测方法。使用新创建的域名可以使违法的钓鱼邮件通过SPF、DKIM和DMARC等标准的电子邮件认证。
由于它们的攻击域名等都是全新的,它们以前也从未出现过,也没有出现在传统的反钓鱼工具所参考的威胁情报中。并且这些网站看起来没有恶意,人们很容易上当。
本文翻译自:https://threatpost.com/attackers-impersonate-dot-phishing-scam/169484/如若转载,请注明原文地址。