网络钓鱼活动使用的 Homoglyph 攻击和 Magecart 攻击

Ann 2020-08-10
专栏 - 事件 发布于 2020-08-10 16:32:53 阅读 49 评论 0

研究人员详细介绍了一种新的evasive网络钓鱼技术,该技术利用经过修改的网站图标注入e-skimmer并秘密窃取支付卡数据。

网络安全公司Malwarebytes的研究人员分析了Magecart攻击中使用的一种新的evasive网络钓鱼技术。黑客使用typo-squatted域名,将多个站点的访问者作为目标,并修改了图标,以注入用于窃取支付卡信息的软件。

该技术称为homoglyph攻击,它涉及到带有IDN homograph攻击的网络钓鱼诈骗。

Malwarebytes研究人员发表的分析报告说:“这个想法很简单,它包含使用看起来相同的字符来欺骗用户” 。“有时字符来自不同的语言集,或者只是将字母’i’大写以使其看起来像小写字母’l’。”

Magecart组织已在多个域上使用国际化域名(IDN)同形异义词攻击技术,将InterSoftware Skimmer加载到favicon文件中。

这种视觉欺骗利用字符脚本的相似性,注册看起来与合法域名相似的欺诈性域名,然后攻击者欺骗受害者访问这些域名。

在分析homoglyph攻击时,专家们还发现合法网站(e.g., “cigarpage.com”)已受到攻击,并注入了无害的图标文件加载程序,该图标文件从 typo-squatted 的域名(“cigarpaqe[.]com”)复制的图标文件。

从homoglyph域加载的收藏夹图标使攻击者能够注入Inter InterJavaScript Skimmer。

网络钓鱼活动使用的 Homoglyph 攻击和 Magecart 攻击

  • 专家注意到,这种攻击所涉及的欺诈域之一(“ zoplm.com”)以前与Magecart Group 8有关,该团队是NutriBullet和MyPillow攻击的幕后黑手。

“第四个域名在其他域名中脱颖而出:zoplm.com。这也是zopim.com的homoglyph文字,但是该域具有历史记录。它先前与Magecart Group 8(RiskIQ)/ CoffeMokko(IB组)相关联,并且在不活跃数月后最近再次注册。” 继续分析道。
“此外,Group 8还记录了引人注目的违规行为,其中包括一个与此相关的违规行为:MyPillow漏洞。这涉及注入在mypiltow.com上托管的恶意第三方JavaScript。虽然homoglyph攻击不仅限于一个威胁参与者,尤其是在欺骗合法Web属性方面,但与基础结构重用相关的注意仍然很有趣。”

为了避免网络钓鱼攻击,更高级的用户必须仔细检查打算访问的网站URL,避免单击电子邮件,聊天消息和其他公共可用内容中的链接,并对其帐户启用多因素身份验证以保护帐户免遭攻击被劫持。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!