基于恶意PDF文件的网络钓鱼攻击实例解析

安全 移动安全
为了让更多人了解这种攻击方式,并加以防范,网络安全研究人员Zoziel Pinto Freire剖析了利用PDF发动网络钓鱼攻击的活动。

我们会经常收到恶意文档或PDF,许多不法分子往往利用这类文件发动网络钓鱼攻击。为了让更多人了解这种攻击方式,并加以防范,网络安全研究人员Zoziel Pinto Freire剖析了利用PDF发动网络钓鱼攻击的活动。

图1

图1是Zoziel Pinto Freire收到的来自Caixa Economica Federal银行的电子邮件,可以看到发件人使用Gmail服务和一个奇怪的名称。

图2

使用MXtoolbox验证该电子邮件的标头,可以看到发件人(即攻击者)使用的IP。

图3

图3是攻击者使用的IP信誉。

图4

通过图4,我们可以看到这个IP经常被提及从事恶意活动。

图5

在VPS(Kali Linux)中下载这个文件后,使用peepdf对文件结构进行分析,在对象3和对象5中找到了2个URI,见图5。

图6

使用pdf-parser检查了对象3和对象5后,在对象3中发现了一个恶意的URL,见图6。

图7

在VirusTotal中检查这个URL,发现其信誉仍然很差,见图7。

图8

在Kali中打开文件后,可以看到它有那家银行的独特徽标和点击按钮,点击该按钮后被定向到一个URL,见图8。

图9

点击该按钮后,URL:hxxp://cefonlineencaminha[.]z13[.[]web[.]core[.]windows[.]net重定向到另一个URL:ms[.]meuappavisos[.]com,见图9。

图10

在检查了URL信誉之后,发现它经常被提及从事恶意活动,见图10。

总之,打开这类电子邮件时,务必要注意每个细节,因为不这样的话可能会将自己的系统置于险境,导致数据被泄露和遭到黑客入侵等。

Zoziel Pinto Freire在分析过程中使用的工具如下:

•Kali Linux——https://www.kali.org/get-kali/

•MX ToolBox—— https://mxtoolbox.com

•pdf-parser—— https://blog.didierstevens.com/programs/pdf-tools/

•peepdf——https://github.com/jesparza/peepdf

•Aubse IPd—— https://www.abuseipdb.com

•Virus Total——https://www.virustotal.com/

参考链接:

https://securityaffairs.co/wordpress/127946/hacking/analyzing-phishing-attacks-pdfs.html

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2010-09-01 14:56:14

2021-03-10 10:05:59

网络钓鱼攻击黑客

2017-08-17 18:20:38

2021-10-31 08:07:54

钓鱼攻击网络钓鱼攻击

2021-04-27 11:11:11

网络钓鱼PDF网络犯罪

2010-09-02 14:31:19

网络钓鱼

2021-10-03 15:50:06

网络钓鱼病毒黑客

2015-02-13 13:11:15

2020-01-18 08:59:23

恶意软件网络钓鱼攻击

2024-03-01 16:38:23

2015-12-16 11:15:01

2024-01-29 12:12:19

2013-12-19 09:43:43

2023-12-19 10:08:47

2013-05-03 13:27:59

2009-11-14 09:35:42

2017-09-14 15:16:56

2021-11-03 12:49:25

验证码网络钓鱼恶意软件

2013-11-14 09:18:50

2021-04-09 08:11:30

网络钓鱼攻击eSentire
点赞
收藏

51CTO技术栈公众号