针对贸易制造行业的钓鱼邮件分析

登录注册

针对贸易制造行业的钓鱼邮件分析

来源:网络
更新日期:2020-08-19

摘要： 8月19日消息近期，猎影实验室监测捕获到一批针对贸易制造行业的钓鱼邮件样本。攻击者通过冒充客户向目标企业发送采购订单相关主题的钓鱼邮件，企图窃取企业邮箱账号信息。

8月19日消息近期，猎影实验室监测捕获到一批针对贸易制造行业的钓鱼邮件样本。攻击者通过冒充客户向目标企业发送采购订单相关主题的钓鱼邮件，企图窃取企业邮箱账号信息。

目前，国内外贸易制造相关的行业都受到了一定的影响。其中，国内受影响较为严重的地区主要是广东、浙江、上海等沿海省份。

钓鱼邮件主要以采购订单作为主题，通过携带命名与主题相关的html文件附件，引诱用户点击，如下是部分钓鱼邮件截图。

在本次钓鱼活动中，邮件所携带的附件都是html文件，并且内容相同，下面将分析其中一个示例，以了解攻击过程。

当用户点击附件时，将打开一个Excel表格的网页文件，并提醒用户输入企业邮箱密码以查看文档，而登录账号则是攻击者设置好的目标企业邮箱。

输入任意密码后，跳转到图片页面，显示模糊的订单图片。

通过查看html文件可以发现，攻击者会将用户的邮箱账号密码发送到攻击者的网站

https://wire-haired-bristle[.]000webhostapp[.]com/ss/opo.php。

不同的附件，接收账号信息的网站和设置的企业邮箱将发生变化，在大部分的情况下，访问攻击者的网站会提示网页正在休眠。

本次分析的示例可以查看攻击者网站目录，该网站上有两个php文件。

其中， “orvx.php”是一个webshell，而“opo.php”是攻击链接的主要功能模块。

据观察，本次钓鱼活动大概从今年中旬开始，并一直持续到至今。国外受影响较为显著的国家有韩国、捷克等，而国内的受害地区主要是广东、浙江、上海等沿海省份。

攻击者主要针对贸易制造行业进行钓鱼攻击，这些行业由于业务需要，企业邮箱经常公开在官方网站或相关论坛，容易被不法分子所利用。

本次攻击与以往的钓鱼活动不同，整个攻击过程较为单一，目标性较强，旨在获取目标企业的邮箱信息，以部署进一步的攻击。

猎影实验室提醒广大用户及企业提高警惕，加强员工安全意识，不打开可疑邮件，不下载可疑附件。