安全响应中心 — 垃圾邮件事件报告(6.28)

2023年6月 第四周

样本概况

✅ 类型1:伪造正常转发邮件(链接)

钓鱼邮件一直是邮件防护绕不开的话题。近日安全团队收到了一批钓鱼邮件,发送者将正常邮件内容和钓鱼内容拼凑在一起,将一封钓鱼邮件伪装成经过转发的正常邮件。

如下图所示:

在这里插入图片描述

钓鱼邮件发送方将一封名为“关于填报2019年xxxx工作的通知”的邮件作为转发邮件内容放置在正文中,再伪装成回复该邮件的样子,诱导被攻击者点开真正的钓鱼链接。相较于普通钓鱼邮件,该种钓鱼邮件迷惑性强,收信人收到一封全篇99%的内容为正常内容的邮件时很容易放下警惕,这也正中钓鱼邮件发送者的下怀。

该类钓鱼邮件具有以下特征:

标题虽然是“回复/答复/转发/Fwd”等像是转发邮件,但缺少转发邮件相关邮件头

邮件开头多为“check file/view document”等字样加上一个钓鱼链接

钓鱼邮件发送者用以混淆的正常邮件内容多为过时信息,其发送时间多为1~2年前

目前启发式规则已提取相关特征,能对该类钓鱼邮件进行拦截。

✅ 类型2:伪造正常转发邮件(pdf附件)

上述钓鱼邮件也有一些变种,如下图所示:

在这里插入图片描述

该样本与样本1套路基本一致,也是利用一封2年前的正常邮件作为正文混淆,不同的是该样本不再带有链接,转而以pdf附件的形式进行钓鱼。然而该pdf附件带有一个链接,如图所示:

在这里插入图片描述

点击PDF中的“OPEN”按钮后跳转到“hxxps://nidanhospital.com/olup/”链接上,经过检测,该链接指向失陷主机

在这里插入图片描述

目前启发式规则已根据样本优化,能够对这类恶意邮件进行拦截。

注意:该种混淆方式可用于各种攻击,特别是传播恶意程序,收信人需要仔细辨别。

✅ 类型3:

防护建议

警惕任何与现今日期跨度过大的转发/回复类邮件,即使邮件内容看起来很正常。

警惕任何邮件中包含的链接,点击前最好先确认链接的安全性、邮件消息的真实性。

文中所涉及部分样本IOC

URL

https[:][/][/]smartresident.pro/ro/?2931962https[:][/][/]ebraulisamyaro.ge/uitm/?1810962https[:][/][/]flixfallen.com/iai/?376871https[:][/][/]expressshoppinghub.com/sap/?273871

MD5
5b01e56f9e4a520c6ae92080431723d235739b91ad3de96b8bda20a3959b372be4b54a45be06e88be51c681ffc47c6f25d49fed40ed573f0964ecbf70e5ea83f

供稿团队:

天空卫士安全响应中心邮件安全小组文章来源地址https://uudwc.com/A/DzYYn

原文地址:https://blog.csdn.net/Scgute88/article/details/131518200

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请联系站长进行投诉反馈,一经查实,立即删除!

h
上一篇 2023年07月04日 10:26
下一篇 2023年07月04日 10:26