據(jù)國(guó)外媒體報(bào)道,一個(gè)網(wǎng)絡(luò)釣魚活動(dòng)利用UPS官網(wǎng)的一個(gè)XSS漏洞來(lái)推送偽裝成發(fā)票文檔的惡意軟件文件,攻擊者假冒UPS發(fā)送釣魚郵件,聲稱包裹出現(xiàn)異常,需要用戶自取,同時(shí)提供了一個(gè)指向UPS官網(wǎng)的鏈接,極具欺騙性。
這次網(wǎng)絡(luò)釣魚攻擊值得關(guān)注的一點(diǎn)是,攻擊者利用UPS.com中的XSS漏洞將站點(diǎn)的常規(guī)頁(yè)面修改為合法的下載頁(yè)面。此漏洞允許威脅行為者通過遠(yuǎn)程Cloudflare worker分發(fā)惡意文檔,但使其看起來(lái)像是直接從UPS.com下載的。
釣魚郵件提供了許多沒有惡意行為的合法鏈接,但包含一個(gè)XSS漏洞利用的鏈接,該漏洞在打開頁(yè)面時(shí)將惡意JavaScript注入瀏覽器(下圖):
這個(gè)網(wǎng)絡(luò)釣魚活動(dòng)的手段非常高明,因?yàn)樵L問URL的用戶會(huì)看到一個(gè)合法的ups.com URL,提示下載發(fā)票。這種策略可能會(huì)導(dǎo)致即使是經(jīng)驗(yàn)豐富的受害者也會(huì)毫不猶豫地打開發(fā)票鏈接,進(jìn)而下載惡意文件。據(jù)了解,該惡意文件名為“invoice_1Z7301XR1412220178”,是偽裝成UPS的運(yùn)輸發(fā)票。
當(dāng)用戶打開這個(gè)惡意文檔時(shí),所有文本都將無(wú)法讀取,并且文檔會(huì)提示用戶“啟用內(nèi)容”以正確查看它。
啟用后,宏將嘗試下載文件https://divine-bar-3d75.visual-candy.workers.dev/blackhole.png。但是,此URL不再有效,因此無(wú)法查看有效負(fù)載。
參考資料
https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-upscom-xss-vuln-to-distribute-malware/
來(lái)源:安全牛