2023年5月 第二周
一. 样本概况
✅ 类型1:二维码钓鱼(QRPhish)
利用二维码进行的钓鱼、投毒,成为目前常见的邮件攻击手段之一,该类二维码主要存在于网络链接图片、邮件内容图片、附件图片中。
近日,安全团队捕获到一类基于员工福利、节日礼品的二维码钓鱼邮件。攻击者打着“员工福利”之类的名号,降低防备心,将二维码放在邮件正文中或者附件中,再加上精心准备的钓鱼界面,稍有不慎就泄露自己的银行卡号密码等,最终被攻击者利用,造成敏感信息泄露个人经济损失。部分样本如下:
相较于薪资补贴、个人所得税申报等二维码钓鱼邮件,这类邮件在发件人成功伪造收件人相同邮件域账户的情况下,很多收件人认为是公司内部邮件而放松警惕,目前有企业员工上当受骗。
目前ASEG反欺诈策略能精确识别发件人是否为伪造的企业邮件账户,启发式规则库已提取该类邮件特征,能进行拦截,并处于持续优化更新中。
✅ 类型2:链接钓鱼(URLPhish)
该类钓鱼邮件主要通过伪造IT信息部门的邮件内容提醒用户邮箱账号异常登录、账户限制、账户停用及安全升级等。常见于攻防演练期间钓鱼攻击,APT钓鱼攻击等。部分样本如下:
目前启发式规则库支持对该类邮件全方面拦截,检测点包括但不限于:用户名伪造检测、发件域信誉、HELO、EHLO、rDNS、RBL、内置钓鱼模板匹配度、恶链、0day-Phish等等。
✅ 类型3:木马附件(Trojan)
近期,安全团队也捕获到携带 Kryptik 木马附件的恶意邮件,内容上为订单、发票单、询价等业务相关信息,并且携带压缩文件,内含恶意PE文件。部分样本如下:
Product_xxxxx.zip
发票和账单.rar
目前启发式规则库已支持对该类邮件的检测,配合沙箱联动处理能达到预期拦截效果。
二. 防护建议
✅ 1.企业单位邮件域配置SPF记录,预防内部账号伪造
✅ 2.警惕包含以下内容的特定邮件
使用“xx部门”、“公司财务”等用户名的发件人;
非工作时间发送的邮件,联系发件人确认真实性;
包含“薪资补贴”、“福利”、“订单”、“询价”及“票据”等关键词的邮件主题;
包含“您好,xx”、“尊敬的xx”等泛化问候词的邮件内容;
包含“邮箱备案”、“状态异常”、“安全升级”等伪造IT信息部门发送的邮件内容;
携带未知网页链接或附件,在不确定安全性时不要点击;
✅ 3.部署邮件网关类安全防护产品
文中所涉及样本IOC
Domain
https[:][/][/]uczh7ndym6dctphixyf7huvqyqjwjrw53eznak6wrvcu6fihi-ipfs-w3s-link[.]translate[.]googhttp[:][/][/]mailrnail[.]cnhttp[:][/][/]pmail[.]araguanli[.]com
IP
103.24.1.137
MD
588c1e6ebedea07e6f1ce8d2a7ef53d1e69f4cbd03a083c3b0eaa8581df258348
供稿团队:
天空卫士安全响应中心邮件安全小组