针对贸易制造行业的钓鱼邮件分析

8

创新互联长期为数千家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为庐江企业提供专业的成都网站建设、成都网站设计庐江网站改版等技术服务。拥有10年丰富建站经验和众多成功案例,为您定制开发。月19日消息 近期,猎影实验室监测捕获到一批针对贸易制造行业的钓鱼邮件样本。攻击者通过冒充客户向目标企业发送采购订单相关主题的钓鱼邮件,企图窃取企业邮箱账号信息。

目前,国内外贸易制造相关的行业都受到了一定的影响。其中,国内受影响较为严重的地区主要是广东、浙江、上海等沿海省份。

钓鱼邮件主要以采购订单作为主题,通过携带命名与主题相关的html文件附件,引诱用户点击,如下是部分钓鱼邮件截图。

在本次钓鱼活动中,邮件所携带的附件都是html文件,并且内容相同,下面将分析其中一个示例,以了解攻击过程。

当用户点击附件时,将打开一个Excel表格的网页文件,并提醒用户输入企业邮箱密码以查看文档,而登录账号则是攻击者设置好的目标企业邮箱。

输入任意密码后,跳转到图片页面,显示模糊的订单图片。

通过查看html文件可以发现,攻击者会将用户的邮箱账号密码发送到攻击者的网站

https://wire-haired-bristle[.]000webhostapp[.]com/ss/opo.php。

不同的附件,接收账号信息的网站和设置的企业邮箱将发生变化,在大部分的情况下,访问攻击者的网站会提示网页正在休眠。

本次分析的示例可以查看攻击者网站目录,该网站上有两个php文件。

其中, “orvx.php”是一个webshell,而“opo.php”是攻击链接的主要功能模块。

据观察,本次钓鱼活动大概从今年中旬开始,并一直持续到至今。国外受影响较为显著的国家有韩国、捷克等,而国内的受害地区主要是广东、浙江、上海等沿海省份。

攻击者主要针对贸易制造行业进行钓鱼攻击,这些行业由于业务需要,企业邮箱经常公开在官方网站或相关论坛,容易被不法分子所利用。

本次攻击与以往的钓鱼活动不同,整个攻击过程较为单一,目标性较强,旨在获取目标企业的邮箱信息,以部署进一步的攻击。

猎影实验室提醒广大用户及企业提高警惕,加强员工安全意识,不打开可疑邮件,不下载可疑附件。

新闻标题:针对贸易制造行业的钓鱼邮件分析
网站地址:http://ybzwz.com/article/cjodjp.html