2023年6月 第四周
樣本概況
✅ 類型1:僞造正常轉發郵件(連結)
釣魚郵件一直是郵件防護繞不開的話題。近日安全團隊收到了一批釣魚郵件,發送者将正常郵件内容和釣魚内容拼湊在一起,将一封釣魚郵件僞裝成經過轉發的正常郵件。
如下圖所示:
釣魚郵件發送方将一封名為“關于填報2019年xxxx工作的通知”的郵件作為轉發郵件内容放置在正文中,再僞裝成回複該郵件的樣子,誘導被攻擊者點開真正的釣魚連結。相較于普通釣魚郵件,該種釣魚郵件迷惑性強,收信人收到一封全篇99%的内容為正常内容的郵件時很容易放下警惕,這也正中釣魚郵件發送者的下懷。
該類釣魚郵件具有以下特征:
- 标題雖然是“回複/答複/轉發/Fwd”等像是轉發郵件,但缺少轉發郵件相關郵件頭
- 郵件開頭多為“check file/view document”等字樣加上一個釣魚連結
- 釣魚郵件發送者用以混淆的正常郵件内容多為過時資訊,其發送時間多為1~2年前
目前啟發式規則已提取相關特征,能對該類釣魚郵件進行攔截。
✅ 類型2:僞造正常轉發郵件(pdf附件)
上述釣魚郵件也有一些變種,如下圖所示:
該樣本與樣本1套路基本一緻,也是利用一封2年前的正常郵件作為正文混淆,不同的是該樣本不再帶有連結,轉而以pdf附件的形式進行釣魚。然而該pdf附件帶有一個連結,如圖所示:
點選PDF中的“OPEN”按鈕後跳轉到“hxxps://nidanhospital.com/olup/”連結上,經過檢測,該連結指向失陷主機
目前啟發式規則已根據樣本優化,能夠對這類惡意郵件進行攔截。
注意:該種混淆方式可用于各種攻擊,特别是傳播惡意程式,收信人需要仔細辨識。
✅ 類型3:
防護建議
- 警惕任何與現今日期跨度過大的轉發/回複類郵件,即使郵件内容看起來很正常。
- 警惕任何郵件中包含的連結,點選前最好先确認連結的安全性、郵件消息的真實性。
文中所涉及部分樣本IOC
- URL
- https[:][/][/]smartresident.pro/ro/?2931962https[:][/][/]ebraulisamyaro.ge/uitm/?1810962https[:][/][/]flixfallen.com/iai/?376871https[:][/][/]expressshoppinghub.com/sap/?273871
-
MD5
5b01e56f9e4a520c6ae92080431723d235739b91ad3de96b8bda20a3959b372be4b54a45be06e88be51c681ffc47c6f25d49fed40ed573f0964ecbf70e5ea83f
供稿團隊:
天空衛士安全響應中心郵件安全小組