摘要: 8月19日消息 近期,猎影实验室监测捕获到一批针对贸易制造行业的钓鱼邮件样本。攻击者通过冒充客户向目标企业发送采购订单相关主题的钓鱼邮件,企图窃取企业邮箱账号信息。
8月19日消息 近期,猎影实验室监测捕获到一批针对贸易制造行业的钓鱼邮件样本。攻击者通过冒充客户向目标企业发送采购订单相关主题的钓鱼邮件,企图窃取企业邮箱账号信息。
目前,国内外贸易制造相关的行业都受到了一定的影响。其中,国内受影响较为严重的地区主要是广东、浙江、上海等沿海省份。
钓鱼邮件主要以采购订单作为主题,通过携带命名与主题相关的html文件附件,引诱用户点击,如下是部分钓鱼邮件截图。
在本次钓鱼活动中,邮件所携带的附件都是html文件,并且内容相同,下面将分析其中一个示例,以了解攻击过程。
当用户点击附件时,将打开一个Excel表格的网页文件,并提醒用户输入企业邮箱密码以查看文档,而登录账号则是攻击者设置好的目标企业邮箱。
输入任意密码后,跳转到图片页面,显示模糊的订单图片。
通过查看html文件可以发现,攻击者会将用户的邮箱账号密码发送到攻击者的网站
https://wire-haired-bristle[.]000webhostapp[.]com/ss/opo.php。
不同的附件,接收账号信息的网站和设置的企业邮箱将发生变化,在大部分的情况下,访问攻击者的网站会提示网页正在休眠。
本次分析的示例可以查看攻击者网站目录,该网站上有两个php文件。
其中, “orvx.php”是一个webshell,而“opo.php”是攻击链接的主要功能模块。
据观察,本次钓鱼活动大概从今年中旬开始,并一直持续到至今。国外受影响较为显著的国家有韩国、捷克等,而国内的受害地区主要是广东、浙江、上海等沿海省份。
攻击者主要针对贸易制造行业进行钓鱼攻击,这些行业由于业务需要,企业邮箱经常公开在官方网站或相关论坛,容易被不法分子所利用。
本次攻击与以往的钓鱼活动不同,整个攻击过程较为单一,目标性较强,旨在获取目标企业的邮箱信息,以部署进一步的攻击。
猎影实验室提醒广大用户及企业提高警惕,加强员工安全意识,不打开可疑邮件,不下载可疑附件。
相关文章推荐
已有家长中招!“录取通知书”邮件暗藏骗局2022-09-06
连接企微和钉钉,新网全球邮助力企业协同办公2022-09-27
快速申请搭建免费企业邮箱的教程2022-09-16
如何避免你的外贸开发信被当成垃圾邮件?2022-09-14
2021年,全国企业邮箱用户共收发邮件约7637.7亿封2022-09-13