“以假乱真” 网络钓鱼活动巧妙使用 UPS.com XSS 漏洞分发恶意软件
一个巧妙的网络钓鱼活动利用UPS.com中的XSS漏洞来推送虚假和恶意的“invoice"Word 文档。
UPS快递公司(UPS
Express,联合包裹服务公司)是世界上最大的快递承运商与包裹递送公司。公司创办1907年,每天在全球200多个国家和地区提供物流服务,年营业额超过500亿美元。
网络钓鱼骗局最初是由安全研究人员丹尼尔·加拉格尔发现的,他假装是一封来自UPS的电子邮件,声称一个包裹有“例外”,需要客户取走。
这次网络钓鱼攻击的突出之处在于,威胁行为者利用UPS.com的跨站攻击漏洞,将该网站的常规页面修改为看起来像一个合法的下载页面。
此漏洞允许威胁行为者通过远程Cloudflare工作人员分发恶意文档,但使其看起来像是直接从UPS.com下载的。
剖析 UPS 网络钓鱼骗局
这个电子邮件充满了大量的合法链接,没有执行恶意行为。然而,这个追踪号码是一个链接到UPS网站的链接,其中包含一个XSS漏洞,当页面打开时,该漏洞会向浏览器注入恶意JavaScript。
UPS 网络钓鱼电子邮件
当前无法加载图像,因为攻击者的站点已关闭
下面可以看到用于跟踪号码的URL经过清理后的版本,原始的URL被进一步混淆了。
网络钓鱼诈骗中使用的URL
这个URL有两个有趣的字符串用作攻击的一部分,其中第一项是以下base64编码的字符串:
MSBqVTU3IE4zM2QgNzAgbTRLMyA3aDE1IFVSTCA0IGwxNzdsMyBMMG45M3IgNzAgSDFEMyBuM3g3IHFVM3JZIFA0UjRNLCB5MHUgNExSMzREeSBLbjB3IFdoWSA7KQ==
base64字符串包含来自威胁参与者的注释,该注释有助于解释该字符串用于使URL变长,以隐藏附加到URL末尾的XSS利用查询参数。
1 jU57 N33d 70 m4K3 7h15 URL 4 l177l3 L0n93r 70 H1D3 n3x7 qU3rY P4R4M, y0u
4LR34Dy Kn0w WhY“以假乱真” 网络钓鱼活动巧妙使用 UPS.com XSS 漏洞分发恶意软件相关推荐
- Spotify网络钓鱼活动目标锁定音乐爱好者
AppRiver的安全研究人员发现了针对热门流媒体服务Spotify的网络钓鱼活动.活动于11月初被发现,***者使用富有说服力的电子邮件诱骗Spotify用户提供其帐户凭据. 这些电子邮件试图欺骗用 ...
- 网络钓鱼活动从虚假应用转向供应链攻击
By Jeffrey - 资深IT经理人,IT运营和安全顾问,历任多家知名跨国企业包括麦肯锡大中华区.通用电气公司.壳牌石油.英美烟草等公司IT总经理 2022 年初,一种被称为"Juice ...
- 威胁扫描丨攻击者利用微软 OneNote 文件发起网络钓鱼活动并伺机传播恶意软件
通告信息 近期,FortiGuard Labs (Fortinet全球威胁研究与响应实验室)在追踪几起网络钓鱼活动中均发现,攻击者通过网络钓鱼电子邮件向用户发送恶意 Microsoft OneNote ...
- 2020年第一季度国外的垃圾邮件和网络钓鱼活动回顾
如果一张公园的门票高达475美元,你还会买吗?如果这时旁边有人告诉你有个网站正在出售半价票,你会不会动心?下图正是钓鱼攻击者利用用户贪便宜的心理发起的攻击. 诈骗者试图使他们的网站尽可能接近原始网站, ...
- 第一百二十四期:2019年臭名昭著的勒索软件,网络钓鱼和僵尸网络
Webroot发布了年度恶意软件列表,展示了2019年最臭名昭著的网络安全威胁.从攻击次数最多的勒索软件和加密挖矿,到破坏最大的网络钓鱼攻击,显然,全球网络威胁正在变得更为先进且难以预测. 作者:ki ...
- 网络钓鱼仍然是安全行业的祸害
随着网络犯罪分子采用更先进的方法,网络钓鱼诈骗继续构成重大风险. 根据 Zscaler 最新发布的 2023 ThreatLabz 网络钓鱼报告,随着网络钓鱼工具包和ChatGPT等人工智能 (AI) ...
- 红队渗透测试技术:如何通过鱼叉式网络钓鱼获得攻击机会?
关于红队在渗透测试中使用的网络钓鱼攻击的文章很多,不过大多数的介绍都是不完整的.在本文中,我们将对这个话题进行一次完整的梳理,包括域创建,制作网络钓鱼内容,绕过垃圾邮件过滤器和电子邮件网关,生成不可检 ...
- 为什么网络钓鱼攻击仍然有利可图----以及如何阻止它
随着商业世界继续努力应对新常态的不断扩展,网络钓鱼攻击仍然是攻击者的一种常见策略.为什么网络钓鱼攻击仍有发生?我们该如何预防他们呢?我们采访了一位威胁分析师,他告诉了我们答案. 2020年5月,X-F ...
- 垃圾邮件、欺骗和网络钓鱼,如何防止电子邮件安全意识的威胁
网络安全意识月已过半,本周我们的重点是电子邮件安全意识. 在我们最近为此活动撰写的一篇博客中,我们介绍了电子邮件系统面临的一些最严重的危险--包括垃圾邮件.欺骗和网络钓鱼--以及用户如何主动在他们的电 ...
最新文章
- 双十一,假如有人把支付宝存储服务器炸了,你的钱是不是都没了?
- java build path entries 为空_TOOLFK工具-在线JAVA代码执行工具
- matlab simulink 电气连接
- DRBD+HeartBeat+NFS 架构
- P2396-yyylovesMathsVII【状压dp】
- Django REST framework介绍
- html密码字段语法,HTML input 标签的 type 属性
- Mysql整库导出导入
- SAP License:BWBCS学习笔记20210304
- 不使用资源文件动态创建对话框的做法
- 用WPF+MongoDB开发房产信息收集器(4)——房产信息采集器总体介绍附程序下载
- vc6.0快捷键小结收藏
- 请自行检查是否安装VC9运行库??
- 初识python之汇率转换篇
- Early stopping conditioned on metric `val_loss` which is not available. Available metrics are: loss,
- windows10 LTSC版本 安装应用商店及聚焦屏保
- 计算机第二课堂教学计划,第二课堂教学计划
- ant弹窗_【React】急:请问ant modal(弹出框)怎么修改样式?
- 章鱼体验思杰第二天:
- javascript第三天---标签内的属性和数组
热门文章