針對韓國網站的釣魚和水坑攻擊

研究人員發現一起針對韓國網站的釣魚攻擊活動，該攻擊活動已成功入侵4家韓國網站，並通過注入偽造的登陸表單來竊取用戶憑證。攻擊活動使用了水坑攻擊來注入惡意JS代碼到網站中以載入瀏覽器漏洞利用或竊取金融信息，這種釣魚活動很少見。

研究人員將該攻擊活動標記為Soula，它通過韓國主流搜索引擎的偽造的登陸屏來收集信息。它會發送記錄的憑證到攻擊者的伺服器，因此研究人員認為攻擊者仍然在驗證和信息收集階段。

攻擊鏈

圖1. Soula攻擊鏈

注入的腳本會對網站訪問者進行化學，並在主頁頂部載入釣魚表格。它可以掃描HTTP referer header字元串，並檢查其中是否含有與主流搜索引擎和社交媒體站點相關的關鍵字，來驗證訪問者是否是真實的。因為HTTP referer header會識別到請求的頁面的源的地址頁，因此檢查可以讓他識別訪問者是否是真實的用戶，並過濾機器爬蟲或威脅引擎掃描器。

然後腳本會掃描HTTP User-Agent header看是否含有iPhone, iPad, iPod, iOS和Android等字元串來識別用戶使用的設備是電腦還是移動設備，然後發送對應的釣魚表單到受害者。移動用戶在點擊了任意被黑網站上的按鈕就會看到彈出的偽造的登陸表單。為了隱藏惡意活動，只有受害者訪問頁面6次以上才會啟用彈窗，會設置一個cookie來對訪問次數進行計數。Cookie有效期會設置為上次彈窗後2小時。

圖2. 檢查HTTP Referer和HTTP User-Agent的注入腳本

如果設備沒有前面列出的字元串，Soula會假定用戶使用桌面計算機訪問網站。用戶會在被黑的網頁頂部看到偽造的登陸表單，邀請用戶輸入用戶名和密碼後才能繼續訪問站點。用戶信息會位元組發送到攻擊者的伺服器。為了防止被網站發現，釣魚腳本設定瀏覽器cookie為初次交互後的12小時。

研究人員發現注釋使用的簡體中文，並使用Cloudflare來保護域名，隱藏真實IP地址。研究人員聯繫了Cloudflare停止為惡意域名提供服務，但是攻擊活動並沒有停止。事實上，攻擊者進一步加強了檢測繞過的特徵。攻擊者對注入被黑的站點的JS腳本增加了混淆，將腳本和釣魚頁面移動到被黑的web伺服器來繞過檢測和防止域名被移除。

圖3.中文注釋

圖4. 注入的腳本混淆前後對比

結論

考慮到被黑的站點之一是韓國訪問量前300的站點，而且搜索引擎主機提供的服務對韓國用戶來說是可信的，因此Soula對用戶和企業來說都是一個很嚴重的威脅。攻擊者搜索和連接的內容字元串說明了犯罪分子的潛在計劃是影響全球更多用戶的更大規模的攻擊活動。

與社會工程釣魚攻擊相比，這種技術更難追蹤，終端用戶仍然可以通過多層防護方法來保護自己。研究人員建議用戶啟用2FA來增加額外的認證過程和步驟。同時要從合法廠商處及時下載更新，並啟用內容安全策略來防止非授權的訪問以及遠程注入腳本的漏洞利用使用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！