在DNS中进行二维码钓鱼追踪

威胁报告

威胁行为者再次滥用那些原本以便利生活为目的的科技技术—二维码—该手段使用在最常用的网络犯罪活动之一网络钓鱼中使用。网络钓鱼中的二维码使用和兴起并不奇怪,根据多项研究表明,全球有多达86%的用户使用手机进行各种类型的交易,其中也包括金融交易。

 

具有庞大的受害人群体以及二维码的开源技术特点可能是该技术被频繁用于网络钓鱼的原因。此外,确定二维码的有效性比确定超链接的有效性要困难的多。

 

Trustwave的研究人员近期注意到了这一趋势,并发布了他们对正在进行的二维码网络钓鱼欺诈的深入调查结果,其中包括18个被认定为妥协指标的URLs。为了遏制此类似攻击,WhoisXML API的研究团队深入调查DNS,尽可能多的寻找为被报告或确认的潜在的数字信息,结果如下:

●Whois记录中拥有同一个注册人名称的10,000个域名与其中的一个IoC相同,根据批量恶意软件检查后发现,其中的10个域名是恶意的;
● 从18个提取出的URL中确定为IoCs域名解析的10个唯一的IP地址;
● 114个共享域名看似专用的IP地址,经过批量恶意软件检测,其中26个被证实是恶意的;
● 10,045个域名包含在部分提取出的域名中所发现的文本字符串,经过批量恶意软件检测,其中4个证实为恶意域名;
● 30个域名中所含有的qr.codes字符串与从URL中提取的一个域名相似,被证实为IoCs;

DNS对IoC的启示

为了尽可能多的收集有关威胁行为者基础设施的相关信息,我们第一时间对IoC进行了批量WHOIS查询,结果发现:
●18个域名中有15个域名拥有公开的WHOIS信息,但是大多数细节都被删减了,只有一条记录填写了注册人机构信息。
● 可检索到WHOIS记录的15个域名分布在8个注册商中,其中GoDaddy.com LLC、Google 和 Namecheap, Inc.三家的IoCs数量排名领先。
● 15个IoCs都是新注册域名。
● 域名qhsbobfv[.]top的注册人是公开的,但用中文书写。
● 这 15 个域名分别在以加拿大和美国为首的 6 个国家注册,每个国家各有 5 个 IoC。

 

DNS间的关联性

我们对被确定为IoC的URL中提取的18个域名进行了批量WHOIS查询,发现了一个未经编辑的注册人姓名。反向WHOIS搜索显示,该名字出现在至少10,000个其他域名的历史WHOIS记录中。对这些域名进行批量恶意软件检测显示,其中有10个域名已经被标记为恶意域名。截止至今,只有一个域名仍可以访问,但是其指向为一个空白页。

 

为了深入挖掘这些相关域名间的关联性,我们对提取出的这18个域名进行了DNS查询,其中7个域名解析到10个唯一的IP地址。在对这些IP地址进行反向IP查询后发现,其中两个似乎是专有IP地址,共承载了114个并不在原有IoC列表中的域名,其中的26个域名已被批量恶意软件检测为恶意。

 

对这26个恶意IP相关的域名进行的截图查询显示,有24个域名仍托管着实时内容。请看下列三个示例。

agenkebab[.]com屏幕截图

 

customsfee-supporthub[.]com屏幕截图

 

franchisekebab[.]com屏幕截图

 

基于被识别为IoC的域名上所托管的三个网页的截图显示,二维码网络钓鱼活动的威胁行为者使用的网页内容很容易被误认为是合法业务页面。如下图所示的三个示例。

托管在IoC aircourier-company[.]com上的屏幕截图页面

 

托管在IoC viajalejos[.]net上的屏幕截图页面

 

托管在IoC lockvvoodgroup[.]com上的屏幕截图页面

然而更有趣的是,托管在IoC lockvvoodgroup[.]com上的屏幕截图,以及新发现的恶意IP相关的域名customsfee-supporthub[.]com所导向的网页有着相同的内容。

      其他商业网页似乎侧重于提供潜在受害者经常会搜索的产品和服务,如送餐、快递和旅游服务的网站,他们极有可能对这些内容不加思索。
基于“域名和子域名发现”的搜索结果,以下列出的6个从域名中提取出的字符串也出现在了其他10,045个域名中。

●16092022.                        

● viajalejos.

● qrserver.                                  

● lockvvoodgroup.

● isirumah.                                 

● qr. 

      对这些10,045 个与字符串相关的域名进行批量恶意软件检测后发现,有四个域名被证实为恶意域名,其中一个域名仍在进行实时内容托管。                              qr[.]st屏幕截图

——————————————-


我们对18个被认定为是二维码网络钓鱼 IoC 的 URL 中所提取的域名进行了列表扩展分析,发现了 20,000 多个可能相关联的域名,从而揭示了威胁行为者在攻击过程中可能使用的 IP 地址,以及可能属于威胁行为者或其他威胁行为者网络犯罪基础设施的更多恶意域名。

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/93554.html

Like (0)
速盾高防cdn的头像速盾高防cdn
Previous 2024年7月17日 下午3:24
Next 2024年7月17日 下午3:28

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注