威胁报告
威胁行为者再次滥用那些原本以便利生活为目的的科技技术—二维码—该手段使用在最常用的网络犯罪活动之一网络钓鱼中使用。网络钓鱼中的二维码使用和兴起并不奇怪,根据多项研究表明,全球有多达86%的用户使用手机进行各种类型的交易,其中也包括金融交易。
具有庞大的受害人群体以及二维码的开源技术特点可能是该技术被频繁用于网络钓鱼的原因。此外,确定二维码的有效性比确定超链接的有效性要困难的多。
Trustwave的研究人员近期注意到了这一趋势,并发布了他们对正在进行的二维码网络钓鱼欺诈的深入调查结果,其中包括18个被认定为妥协指标的URLs。为了遏制此类似攻击,WhoisXML API的研究团队深入调查DNS,尽可能多的寻找为被报告或确认的潜在的数字信息,结果如下:
DNS对IoC的启示
●18个域名中有15个域名拥有公开的WHOIS信息,但是大多数细节都被删减了,只有一条记录填写了注册人机构信息。
● 可检索到WHOIS记录的15个域名分布在8个注册商中,其中GoDaddy.com LLC、Google 和 Namecheap, Inc.三家的IoCs数量排名领先。
● 域名qhsbobfv[.]top的注册人是公开的,但用中文书写。
● 这 15 个域名分别在以加拿大和美国为首的 6 个国家注册,每个国家各有 5 个 IoC。
DNS间的关联性
为了深入挖掘这些相关域名间的关联性,我们对提取出的这18个域名进行了DNS查询,其中7个域名解析到10个唯一的IP地址。在对这些IP地址进行反向IP查询后发现,其中两个似乎是专有IP地址,共承载了114个并不在原有IoC列表中的域名,其中的26个域名已被批量恶意软件检测为恶意。
对这26个恶意IP相关的域名进行的截图查询显示,有24个域名仍托管着实时内容。请看下列三个示例。
agenkebab[.]com屏幕截图
customsfee-supporthub[.]com屏幕截图
franchisekebab[.]com屏幕截图
基于被识别为IoC的域名上所托管的三个网页的截图显示,二维码网络钓鱼活动的威胁行为者使用的网页内容很容易被误认为是合法业务页面。如下图所示的三个示例。
托管在IoC aircourier-company[.]com上的屏幕截图页面
托管在IoC viajalejos[.]net上的屏幕截图页面
托管在IoC lockvvoodgroup[.]com上的屏幕截图页面然而更有趣的是,托管在IoC lockvvoodgroup[.]com上的屏幕截图,以及新发现的恶意IP相关的域名customsfee-supporthub[.]com所导向的网页有着相同的内容。
其他商业网页似乎侧重于提供潜在受害者经常会搜索的产品和服务,如送餐、快递和旅游服务的网站,他们极有可能对这些内容不加思索。
基于“域名和子域名发现”的搜索结果,以下列出的6个从域名中提取出的字符串也出现在了其他10,045个域名中。
●16092022.
● viajalejos.
● qrserver.
● lockvvoodgroup.
● isirumah.
● qr.
对这些10,045 个与字符串相关的域名进行批量恶意软件检测后发现,有四个域名被证实为恶意域名,其中一个域名仍在进行实时内容托管。
qr[.]st屏幕截图
——————————————-
我们对18个被认定为是二维码网络钓鱼 IoC 的 URL 中所提取的域名进行了列表扩展分析,发现了 20,000 多个可能相关联的域名,从而揭示了威胁行为者在攻击过程中可能使用的 IP 地址,以及可能属于威胁行为者或其他威胁行为者网络犯罪基础设施的更多恶意域名。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/93554.html
