一个巧妙的网络钓鱼活动利用UPS.com中的XSS漏洞来推送虚假和恶意的“invoice"Word 文档。

UPS快递公司(UPS
Express,联合包裹服务公司)是世界上最大的快递承运商与包裹递送公司。公司创办1907年,每天在全球200多个国家和地区提供物流服务,年营业额超过500亿美元。

网络钓鱼骗局最初是由安全研究人员丹尼尔·加拉格尔发现的,他假装是一封来自UPS的电子邮件,声称一个包裹有“例外”,需要客户取走。

这次网络钓鱼攻击的突出之处在于,威胁行为者利用UPS.com的跨站攻击漏洞,将该网站的常规页面修改为看起来像一个合法的下载页面。

此漏洞允许威胁行为者通过远程Cloudflare工作人员分发恶意文档,但使其看起来像是直接从UPS.com下载的。

剖析 UPS 网络钓鱼骗局

这个电子邮件充满了大量的合法链接,没有执行恶意行为。然而,这个追踪号码是一个链接到UPS网站的链接,其中包含一个XSS漏洞,当页面打开时,该漏洞会向浏览器注入恶意JavaScript。

UPS 网络钓鱼电子邮件

当前无法加载图像,因为攻击者的站点已关闭

下面可以看到用于跟踪号码的URL经过清理后的版本,原始的URL被进一步混淆了。

网络钓鱼诈骗中使用的URL

这个URL有两个有趣的字符串用作攻击的一部分,其中第一项是以下base64编码的字符串:

MSBqVTU3IE4zM2QgNzAgbTRLMyA3aDE1IFVSTCA0IGwxNzdsMyBMMG45M3IgNzAgSDFEMyBuM3g3IHFVM3JZIFA0UjRNLCB5MHUgNExSMzREeSBLbjB3IFdoWSA7KQ==

base64字符串包含来自威胁参与者的注释,该注释有助于解释该字符串用于使URL变长,以隐藏附加到URL末尾的XSS利用查询参数。

1 jU57 N33d 70 m4K3 7h15 URL 4 l177l3 L0n93r 70 H1D3 n3x7 qU3rY P4R4M, y0u
4LR34Dy Kn0w WhY

“以假乱真” 网络钓鱼活动巧妙使用 UPS.com XSS 漏洞分发恶意软件相关推荐

  1. Spotify网络钓鱼活动目标锁定音乐爱好者

    AppRiver的安全研究人员发现了针对热门流媒体服务Spotify的网络钓鱼活动.活动于11月初被发现,***者使用富有说服力的电子邮件诱骗Spotify用户提供其帐户凭据. 这些电子邮件试图欺骗用 ...

  2. 网络钓鱼活动从虚假应用转向供应链攻击

    By Jeffrey - 资深IT经理人,IT运营和安全顾问,历任多家知名跨国企业包括麦肯锡大中华区.通用电气公司.壳牌石油.英美烟草等公司IT总经理 2022 年初,一种被称为"Juice ...

  3. 威胁扫描丨攻击者利用微软 OneNote 文件发起网络钓鱼活动并伺机传播恶意软件

    通告信息 近期,FortiGuard Labs (Fortinet全球威胁研究与响应实验室)在追踪几起网络钓鱼活动中均发现,攻击者通过网络钓鱼电子邮件向用户发送恶意 Microsoft OneNote ...

  4. 2020年第一季度国外的垃圾邮件和网络钓鱼活动回顾

    如果一张公园的门票高达475美元,你还会买吗?如果这时旁边有人告诉你有个网站正在出售半价票,你会不会动心?下图正是钓鱼攻击者利用用户贪便宜的心理发起的攻击. 诈骗者试图使他们的网站尽可能接近原始网站, ...

  5. 第一百二十四期:2019年臭名昭著的勒索软件,网络钓鱼和僵尸网络

    Webroot发布了年度恶意软件列表,展示了2019年最臭名昭著的网络安全威胁.从攻击次数最多的勒索软件和加密挖矿,到破坏最大的网络钓鱼攻击,显然,全球网络威胁正在变得更为先进且难以预测. 作者:ki ...

  6. 网络钓鱼仍然是安全行业的祸害

    随着网络犯罪分子采用更先进的方法,网络钓鱼诈骗继续构成重大风险. 根据 Zscaler 最新发布的 2023 ThreatLabz 网络钓鱼报告,随着网络钓鱼工具包和ChatGPT等人工智能 (AI) ...

  7. 红队渗透测试技术:如何通过鱼叉式网络钓鱼获得攻击机会?

    关于红队在渗透测试中使用的网络钓鱼攻击的文章很多,不过大多数的介绍都是不完整的.在本文中,我们将对这个话题进行一次完整的梳理,包括域创建,制作网络钓鱼内容,绕过垃圾邮件过滤器和电子邮件网关,生成不可检 ...

  8. 为什么网络钓鱼攻击仍然有利可图----以及如何阻止它

    随着商业世界继续努力应对新常态的不断扩展,网络钓鱼攻击仍然是攻击者的一种常见策略.为什么网络钓鱼攻击仍有发生?我们该如何预防他们呢?我们采访了一位威胁分析师,他告诉了我们答案. 2020年5月,X-F ...

  9. 垃圾邮件、欺骗和网络钓鱼,如何防止电子邮件安全意识的威胁

    网络安全意识月已过半,本周我们的重点是电子邮件安全意识. 在我们最近为此活动撰写的一篇博客中,我们介绍了电子邮件系统面临的一些最严重的危险--包括垃圾邮件.欺骗和网络钓鱼--以及用户如何主动在他们的电 ...

最新文章

  1. 双十一,假如有人把支付宝存储服务器炸了,你的钱是不是都没了?
  2. java build path entries 为空_TOOLFK工具-在线JAVA代码执行工具
  3. matlab simulink 电气连接
  4. DRBD+HeartBeat+NFS 架构
  5. P2396-yyylovesMathsVII【状压dp】
  6. Django REST framework介绍
  7. html密码字段语法,HTML input 标签的 type 属性
  8. Mysql整库导出导入
  9. SAP License:BWBCS学习笔记20210304
  10. 不使用资源文件动态创建对话框的做法
  11. 用WPF+MongoDB开发房产信息收集器(4)——房产信息采集器总体介绍附程序下载
  12. vc6.0快捷键小结收藏
  13. 请自行检查是否安装VC9运行库??
  14. 初识python之汇率转换篇
  15. Early stopping conditioned on metric `val_loss` which is not available. Available metrics are: loss,
  16. windows10 LTSC版本 安装应用商店及聚焦屏保
  17. 计算机第二课堂教学计划,第二课堂教学计划
  18. ant弹窗_【React】急:请问ant modal(弹出框)怎么修改样式?
  19. 章鱼体验思杰第二天:
  20. javascript第三天---标签内的属性和数组

热门文章

  1. 001从离职到北京安定
  2. l挡d挡切换_自动档汽车D档与L可以在行驶中切换吗?
  3. 游戏网站开发学习笔记(二)
  4. 代码之谜(零) - 其实,你不懂代码
  5. 惠普计算机官网800g3,最强迷你主机—HP EliteDesk 800 G3 Mini
  6. get 请求参数是对象怎么办
  7. oracle 内关联,左外关联,右外关联,全外关联
  8. strsep()函数:字符串切割
  9. 1053.枚举型习题(1):输入整数输出其对应的颜色
  10. 极智AI | 再谈昇腾CANN量化