圖 1:按文件類型劃分的惡意附件。資料來源:Check Point Research

用戶在偽造登錄表單中輸入自己的憑證并點擊提交,然后憑證通常通過 Web 服務器或 Telegram 的 API 發(fā)送給攻擊者。在過去的幾個月里,CPR 觀察到持續(xù)不斷的攻擊活動涉及數(shù)千封電子郵件,這些電子郵件利用 EmailJS、Formbold、Formspree 和 Formspark 等合法服務來獲取被盜憑證。上述服務都是在線表單構(gòu)建器,允許用戶為自己的網(wǎng)站或 Web 應用創(chuàng)建自定義表單,并得到了開發(fā)人員的廣泛使用。它們不僅為構(gòu)建可嵌入到網(wǎng)站或應用的表單提供了用戶友好型界面,而且還可提供各種表單字段類型,例如文本輸入字段、單選框、復選框、下拉菜單等,以便用戶以結(jié)構(gòu)化的方式收集用戶信息。用戶提交表單后,此類服務將處理表單數(shù)據(jù)并收集被盜憑證。

圖 2:憑證收集流程

憑證收集

憑證收集是一種網(wǎng)絡攻擊,其中攻擊者竊取用戶名和密碼等敏感信息,以獲取用戶對合法網(wǎng)絡服務的初始訪問權(quán)限或在網(wǎng)上販賣。通常,這些攻擊并非針對某一特定機構(gòu),而是試圖收集盡可能多的不同用戶名和密碼來在網(wǎng)上兜售。

圖 3:暗網(wǎng)論壇出售被盜憑證

合法郵件服務之殤

過去,攻擊者主要使用兩種方法來收集憑證。第一種方法是使用托管在受攻擊站點上的 PHP 文件。然而,在這種方法中,攻擊者面臨著站點被網(wǎng)絡安全解決方案攔截的可能性。第二種方法是使用 Telegram 的 API,但這種方法被安全廠商所熟知,因此被攔截的幾率更高?,F(xiàn)在,使用合法表單服務 API 的新方法被許多開發(fā)人員所使用,這就加大了攔截惡意 HTML 文件的難度。借助該 API,憑證可被發(fā)送到攻擊者選擇的任何位置,甚至能夠發(fā)送到他自己的郵箱。

以EmailJS 為例,EmailJS 是一項允許開發(fā)人員只使用客戶端技術(shù)(而無需任何服務器代碼)發(fā)送電子郵件的服務。若要使用該服務,用戶只需:

  1. 將電子郵件地址連接到該服務;
  2. 創(chuàng)建一個電子郵件模板,以確定電子郵件發(fā)送方式以及電子郵件接收地址;
  3. 使用 EmailJS SDK 或 API,以利用 JavaScript 發(fā)送電子郵件。

該服務每月可免費發(fā)送最多 200 封電子郵件,而通過訂閱,每月可發(fā)送多達 100,000 封電子郵件。該服務是合法的,根據(jù)其官網(wǎng)數(shù)據(jù),有超過 25,000 名開發(fā)人員正在使用這項服務。

圖 4: EmailJS 官網(wǎng)

以下兩個示例說明了攻擊者正如何使用該服務來收集被盜憑證——

在圖 5 中,攻擊者首先利用其公鑰使用“emailJS.init”,然后使用函數(shù)

“sendEmail”(當用戶提交表單時被觸發(fā))和“emailjs.send”通過電子郵件將數(shù)據(jù)傳輸?shù)剿碾娮余]件帳戶。

圖 6:另一個從 HTML 文件中使用 EmailJS 的示例

在圖 6 中,攻擊者直接使用 EmailJS API 將受害者的憑證發(fā)送給自己。
上述示例均來自于我們觀察到的一起攻擊活動。此外,Check Point還發(fā)現(xiàn)該攻擊活動使用了兩個不同的 EmailJS 公共 API 密鑰。

一起真實的釣魚攻擊

CPR近日檢測到一起始于一封釣魚電子郵件的持續(xù)攻擊活動,這場攻擊活動用到了該電子郵件的多個版本和幾個不同的 HTML 模板。

? 圖 7:攻擊活動中使用的網(wǎng)絡釣魚電子郵件的示例

所附文件與受害者收到的電子郵件相對應,Check Point已發(fā)現(xiàn)了該電子郵件的多個版本。

圖 8:HTML 附件偽裝成文件和網(wǎng)頁郵件登錄頁面

為了讓登錄頁面看似沒問題,攻擊者在表單(在 HTML 文件中進行了硬編碼)中填寫了受害者的電子郵件地址。一旦受害者輸入其憑證并嘗試登錄,用戶名和密碼就會被直接發(fā)送到攻擊者的電子郵件收件箱。

圖 9:使用 EmailJS 的憑證收集流程

預防為先刻不容緩

通過合法手段進行不發(fā)活動無疑使安全形勢變得更加復雜。同時,今年四月Check Point揭示了如何通過ChatGPT進行釣魚軟件編寫,這也意味著不法行為的實施成本也在日趨降低。因此,時刻保持Check Point公司倡導的“預防為先”的安全理念,才是打造互聯(lián)網(wǎng)安全環(huán)境的第一步重要措施。

Check Point?Threat Emulation?客戶端能夠防御此類攻擊??紤]到逃逸型零日攻擊和網(wǎng)絡釣魚攻擊的速度和復雜性,采用?AI 深度學習?來預測和阻止惡意行為、且無需人工干預的解決方案將逐漸成為郵件安全防御的主流。

在?Miercom?基準測試報告中,Check Point 取得了網(wǎng)絡釣魚防御率高達 99.9% 的驕人成績,實現(xiàn)了 99.7% 的惡意軟件防御率,而且在網(wǎng)絡釣魚、惡意軟件及零日網(wǎng)絡釣魚 URL 方面的漏檢率幾乎為 0%。因此,Check Point有信心幫助用戶在惡意郵件攻擊日趨嚴峻的形勢下,依然可以享有最高級別的安全防護,確保核心數(shù)字資產(chǎn)無虞。

分享到

songjy

相關(guān)推薦