解析“Lucky Winner”网络钓鱼攻击活动的运行机制和防范措施

前情提要

二十多年来,恶意软件操纵者们一直在不断改进网络他们的钓鱼技术,以便于更有效地攻破他们的目标。从精心制作的骗局到精心制作的文档,网络钓鱼攻击一直是攻击者工具箱中非常有效的技术。任何人都可以成为网络钓鱼攻击的目标。虽然更为复杂的网络钓鱼攻击不断变化,但也有其他一些类型的攻击在不引人注意的情况下已经存在很长一段时间了。

图1: “Lucky Winner”(幸运赢家)这类钓鱼活动中,攻击者们假扮顶级公司诱骗用户提供个人信息

在过去的三个月中,Cisco 感知威胁分析师们观察到一种特定类型的钓鱼活动的用户数量突然增加,我们称之为“Lucky Winner”(幸运赢家)。这项活动以赢得一些特别的奖励为诱饵,吸引用户回答一些问题,典型的奖品包括最新型号的iPhone或三星收集。两年多以前,“Lucky Winner”这类网络钓鱼活动就已经冒充诸如Google、Facebook、Microsoft 和Apple 这样的顶级企业来执行窃取个人信息、安装不需要的应用程序、下载恶意软件感染用户等操作了。

在这篇文章中,我们将详细的介绍 “Lucky Winner” 这类钓鱼活动的运行机制以及防范措施。

“Lucky Winner”的运行机制

“Lucky Winner”钓鱼活动使用精心设计的网址(如下图2所示),冒充知名的/顶级的网络公司,主要凭借者现在的移动浏览器的地址栏非常小,大多数用户实际上都不会看到将要访问的URL的完整地址,通常根据看到的网址的第一部分就判定这是一个合法的网站(参见下图3所示)。这类钓鱼攻击活动之所以能够成功主要就是依赖于用户只会看到他们想看到的东西,而不会注意他们真正访问的是什么类型的网站。

图2: “Lucky Winner”钓鱼活动中试图冒充Google、Facebook、Microsoft 和Apple公司URL的示例

图3: “Lucky Winner”依赖浏览器短小的URL地址栏来欺骗用户,并滥用他们对目标公司的信任

一旦用户访问了这些经过精心设计的URL地址,会出现一个提示的弹窗,指示用户只要做一个小测试就有机会赢得一个有价值的奖品。测试的问题都是很简单的,答案显而易见。问题还会根据URL中伪造的目标公司而所有变化。以增强用户的信任。比如,谁是微软公司的创始人(马克·扎克伯格,沃伦巴菲特,还是比尔盖茨)?,如下图4所示;或者谁是苹果公司的创始人(马克·扎克伯格,比尔盖茨,还是乔布斯)等之类的问题。用户根本不用担心,即使不知道答案,最后也会提示“恭喜您,赢得了奖品”。我们在研究的过程中故意选了错误答案,但依然可以通过测试;

图4: “Lucky Winner”中为提供一些简答的问题,用户回答后就有赢得奖品的机会

一旦用户回答了三个问题,就会出现三个箱子,其中包含了所谓的“奖品”,用户可以从中挑选。大多数,箱子里的奖品是最新型号的iPhone或三星手机,但也会提供一些其他有价值的电子设备(参加下图5、图6所示)。一旦用户选择了一个箱子,就会弹出一个对话框窗口,请求用户认领奖品,并阅读条款和条件。

图5:用户回答了所有问题后,可以选择一个有奖品的箱子

图6:用户选中了一个箱子,赢得的奖品为一个iPhone7

当用户单击“Claim”(认领)按钮时,它会根据用户的位置或类型将用户重定向到不同的网页,最终的目的地可能是一个充满广告的网站、潜藏着恶意软件的在线游戏网站。

图7:用户点击领奖窗口后,会出现一个弹窗

图8:用户被重定向到一个充满广告的游戏站点

也有可能会将用户重定向到另外一个不同的网络钓鱼骗局,例如比较著名的  Spinning Wheel 骗局。Malwarebytes的研究人员之前已经对 Spinning Wheel 骗局进行了详细的研究(参加更多资料部分),攻击者只是用户通过旋转一个“幸运轮”来“赢得”某一款电子产品(如上图9、图11所示)。

图9: Spinning Wheel 骗局中的“幸运轮”

图10: Spinning Wheel 骗局中用户转动“幸运轮”后赢得了一部三星手机

不用怀疑,用户根本不会获得奖品,只会收获更多的弹窗、虚假承诺、重定向和带有可疑内容的网站,甚至还会提供一个虚假的Flash Player更新。

图11:被重定向到一个虚假的“Flashplayerupdate-setup.exe”更新提示页面

钓鱼活动的真实目标

一旦用户访问了攻击者提供的恶意网站,攻击者就会试图收集一些感兴趣的信息,下图12中显示了钓鱼活动中信息收集相关的URL示例,解码之后的内容如图13所示,可以看出骗子会试图收集用户的ISP(互联网服务提供商)、平台(PC桌面或移动端),IP地址,相关域名,相关的网页或网址,以及页面有关的参数等。

图12: 钓鱼活动中攻击者信息收集(相关的URL示例)

图13:URL解码后具体的参数信息

2015年初,我们就观察并开始留心“Lucky Winner”网络钓鱼攻击的活动,相信它可能会持续更长的时间。从我们第一次发现到如今,URL模式几乎没有大的变化,唯一的重要变化是“voluumdata”参数的编码改为了Base64,从我们的记录中显示,大概是在2016年4月前后增加的。主机名使用了好几层的子域名,这么做是为了欺骗用户,让用户相信他们正在访问合法的网站。由于移动屏幕显示URL的全部内容的能力有限,故而移动用户面临更高的风险。“Lucky Winner”活动的目标是所有已知的平台,包括iOS、Android、Windows以及可能(但尚未确认)的Mac OS和Linux用户。“Lucky Winner”活动中用到的最常见的语言包括:英语、荷兰语、德语和意大利语。

分析“Lucky Winner”的域名

我们对“Lucky Winner”网络钓鱼攻击活动中使用到的的二级域名的典型词组进行了快速分析,观察结果(如下图14)显示,常用的二级域名一般是3~4个词组的组合,单词之间使用破折号(‘-’)进行分割。

图14: “Lucky Winner”活动中二级域名通常由3~4个词组组成

对这些词组的使用频率进行分析,结果表明,最常见的词是“com”,这是由于,“Lucky Winner”活动通常都会试图模仿知名的.com域名,例如如Facebook.com,Google.com,Apple.com和Microsoft.com等。分析结果如下图15所示:

图15: “Lucky Winner”活动中二级域名常用词分析

从上图中我们可以知道,用户在访问网站时,应当小心谨慎,特别是对 ‘com’ 、 ‘gadget’ 、 ‘reward’ 、 ‘lucky’ 、 ‘winner’ 、‘promo’ 、 ‘gift’ 这些单词以及它们变体的组合。上述这些词汇的任何组合都可能导致用户进入高风险的网站,存在泄漏敏感信息的威胁。

此外,我们还对“Lucky Winner”活动中的顶级域名进行了分析,结果表明在过去两年的时间里,“Lucky Winner”活动中一半以上的顶级域名是下列几个常见的域名:.online 、.space 、.club 、.xyz 、.win 、.faith 、  .site 、  .bid 、.review 和 .accountant。如下图16所示:

图16: “Lucky Winner”活动中常用的顶级域名

应对策略

作为用户,我们应当接受这样一个事实:总有一些人或团体会为了利益或其他原因来试图欺骗我们。通过电子邮件或短信收到一个链接或附件时,我们需要停下来思考一下,“为什么会是这样?”知名的公司极少会在一个未知的境况下突然给用户提供一些奖品。这些公司通常都会提前通过官方的沟通渠道公布赠品或组织用户参与比赛。为了确保你不会上当受骗,在点击任何链接之前最好认真的检查一下。

用户的安全意识教育是防止网络钓鱼的一个重要环节,然而总是会有人因为各种原因让人会访问那些阴暗的网站,这种情况下,就有必要借助于技术手段对此类风险进行缓解。通常会用到一些网络监视工具和终端防护工具。

更多资料

Spinning Wheel 骗局:

https://blog[.]malwarebytes[.]com/cybercrime/2015/07/dont-take-this-lucky-wheel-for-a-spin/

IOCs:

https://alln-extcloud-storage[.]cisco[.]com/ciscoblogs/lucky_winner_list_of_iocs[.]txt

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/106073.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code