新式Office 365钓渔网站能同时骗过用户及侦测引擎

恶意攻击手法越来越进步,安全研究人员发现近日一波冒充Office 365的钓渔网站,使用反转背景图的色彩的新手法来躲避安全软件侦测,又能诱骗用户上门。

安全公司WMC研究团队指出,新近的网页图像识别软件越来越进步,使网站扫描产品的分析也更加精确,然而他们最新发现一种新手法运用在Office 365钓渔网站,可骗过这类扫描引擎。方法是将网站图像的颜色进行反转(inverse)成为负片,产生和原始网站图片不同的图像散列。这手法可以影响扫描软件,使它无法将整个图片标示为恶意图像。

但是访问网站的用户却能识别出这种怪异的图片,并立即离开。为此,攻击者的做法是先将这色彩反转的图片设为背景,再在网站的index.php程序代码套用CSS,将图像色彩改为原本的颜色。这样一来,最后的钓渔网站就能骗过用户的眼睛,又不会被扫描引擎侦测出来。

研究人员发现到一个Office 365钓鱼攻击组件使用这种反转色彩的图片,也发现这个组件似乎也已卖给了多名买主,并用以进行Office 365钓鱼攻击。

除了反转图片色彩外,研究人员指出变更网站logo和图片也可能骗过扫描引擎。他们发现如果这类钓渔网站被限制在沙箱环境打开,比较可能被图片扫描系统侦测出来。但是缺点是沙箱打开会使网站花更长时间打开,而且这段时间内钓渔网站仍然可能伤害到用户。

由于Office 365用户众多,也引发黑客以各种钓鱼手法窃取用户输入账号。黑客钓鱼信件发送的假连接包括Microsoft Teams消息、公司VPN配置、SharePoint和OneDrive文件分享连接及Azure ID登录页连接等。

发表评论