一些最常见的网络威胁背后都有“社交工程学”的影子。也许 “最受欢迎” 的是通过恶意广告或被黑客入侵的网站推送欺诈性更新而引起的。
malwarebytes最近发现了一个网站妥协案例,该方案以前从未见过。这是使用社交工程工具包进行的攻击的一部分,受感染的网站在过去几周内吸引了100,000多次访问。
从被感染网站(其中大多数运行 WordPress)作为iframe病毒载体,并在网站层上再盖一层“广告膜”,它诱使用户安装所谓的更新包,如果用户选择了更新,则会下载NetSupport远程控制工具。
本文将描述其攻击思路、技术和程序(TTP),其中部分细节与过去和现在的一些社交软件攻击活动有关。
我们模拟了一次常规的网站感染过程。
伪造Flash Player的更新
这个画面看起来像之前遇到的许多其他社交工程工具包一样,用户被欺骗以下载和运行Flash Player的更新:
请注意,我们的网站域名wheellist [.] net现在已经被黑客所感染,其中chrom-update [.]online的iframe放置在普通页面上方的一层:
点击UPDATE或LATER按钮将下载名为 “download.hta”的文件,该文件已在Atlassian的Bitbucket平台上建立索引,并托管在Amazon服务器(bbuseruploads.s3.amazonaws.com)上:
执行后,该HTA脚本将运行PowerShell指令,并连接到 xyxyxyxyxy [.] xyz这个地址,以检索恶意软件有效载荷。
该有效载荷是一个包含 NetSupport RAT 的软件包:
关于“FakeUpdates”(SocGholish)
在2018年末,malwarebytes 记录了一个恶意重定向攻击,将其称为 FakeUpdates,关于它基于 EmergingThreats 的规则集也常被称为 SocGholish。
它利用受害网站并在交付有效载荷(NetSupportRAT)之前执行了一些我们所见过的最具创意的指纹检查。
最近有一条推文指出了这种攻击的特点,通过受感染的网站fistfuloftalent[.] com报告的SocGholish,尽管链接的沙箱报告显示的是 malwarebytes 之前描述过的模式,但与SocGholish 也有些许不同:
沙箱标记SocGholish的原因是,受感染的站点包含与之相关的工件,并且在某些情况下确实重定向到该站点:
这个网站实际上有两个不同的攻击活动,并且由于某些浏览器和网络指纹,该网站甚至可以被交叉攻击。
可以通过在两个不同的JavaScript部分中查看注入的代码来确认这一点,第一个由EmergingThreats规则集标记。
尽管 SocGholish 和新攻击的模板不同,但是它们两者都有四个共同点:
· 可以在相同的受感染服务器上找到
· 滥用云托管平台(Bitbucket,Dropbox)
· 将虚假更新下载重命名为“download.hta”
· 最终目的为释放NetSupportRAT
PS:公开保存的 VirusTotal 图(此处保存的屏幕截图)显示,威胁执行者在某些时候还使用了 DropBox 来托管netSupport RAT。他们对文件进行了两次压缩,首先压缩为 zip,然后压缩为 rar。
与 SocGholish 的相似之处可能仅仅是由于威胁参与者从之前所做的事中得到了启发。但是,两个模板都传递相同的RAT的事实值得一提。
与恶意软件EITest 相关
大约在审查此新的重定向链的同时,malwarebytes注意到了tkanalyst 标记为 FontPack 的另一条链,这让人想起了 Proofpoint 在2017年初报告的 HoeflerText社交工程工具包。
回到之前收集的流量捕获,malwarebytes 注意到包含 JavaScript 模板(template.js)和面板(.xyz 域)的相同基础结构:
仔细查看 template.js 文件,确认它们实际上是相同的,只是不同的有效载荷 URL 和一些唯一的标识:
Domen 社交工程工具包
template.js 文件是一件精美的工作,它超出了假字体或 FlashPlayer 主题的范围。当最初在 FontPack 标签下检测到此重定向代码段时,决定基于代码中找到的字符串将此社交工程框架称为Domen。
单个 JavaScript 文件根据浏览器、操作系统和语言环境控制各种模板。例如,同一条伪造的报错消息被翻译成30种不同的语言。
注意这里:一个称为 “banner” 的特定变量设置了社交工程主题的类型:var banner =‘2’; // 1—Browser Update | 2—Font | 3—Flash
malwarebytes已经记录了一个 Flash Player,同时还观察到了 Font(HoeflexText模仿者)及其一些变体(Chrome、Firefox)。而第三个,是利用浏览器更新。
浏览器更新
还有一个用于移动设备的模板(该模板又被翻译成30种语言),指引用户如何下载和运行(可能是恶意的)APK程序:
范围和统计
该攻击的范围尚不清楚,但在去年9月左右到现在一直相当活跃。每次用户访问已注入 Domen 工具包的受感染站点时,都会与位于 asasasqwqq[.] xyz 上的远程服务器进行通信:
该页面将创建一个GET请求,该请求则返回一个数字:
如果相信这些数字(随后的访问将其增加1),则表示该特定攻击在过去几周内获得了100,000多次成功。
随着时间的流逝,已经看到了许多不同的社交工程攻击形式。在大多数情况下,它们是根据用户的地理位置和浏览器/操作系统类型动态提供的。
例如,这在技术支持诈骗页面(browlocks)中很常见,在该页面中服务器将为每个受害者返回适当的模板。
Domen 工具包之所以与众不同,是因为它提供了相同的指纹(浏览器、语言)和模板选择,这要归功于客户端(template.js)脚本,每个威胁参与者都可以对其进行调整。
此外,定制的广泛性令人印象深刻,因为它涵盖了大约30种不同语言的一系列浏览器、台式机和移动设备。
