2023年7月 第二周
样本概况
✅ 类型1:伪造身份型钓鱼邮件

钓鱼邮件攻击方为了提高钓鱼成功率,往往会对钓鱼邮件进行“包装”,让钓鱼邮件看起来无比接近正常邮件。

如图所示:


以上样本内容均是伪造通过领英发送的业务邮件,大意是对收信人的产品表示很感兴趣,想要询价/获取试用订单一类的内容。

需要注意的是,尽管邮件内容出现了多处领英相关的商标、相关信息,但该类邮件实际上是针对收信人精心准备的“陷阱”。当点击邮件中的链接后便会跳转到以下钓鱼界面:


该界面将领英的某用户界面当作背景,并做了模糊处理,在左上角提示“Email Login timed out, please login again”,意图收割用户的账号密码信息。

天空卫士启发式规则库针对该类伪造身份类邮件,结合邮件的链接、文本特征、发件地址、路由信息等多方面进行检查,已编写较为完善的检测规则,能对该种特征进行识别检测并拦截。

✅ 类型2:滥用组合用字形连接符

   本周收到一封主题为“关͏于͏2͏0͏2͏3͏工͏资͏调͏整”的扫码类钓鱼邮件反馈,肉眼所见内容如下:


启发式规则库早对该类邮件有相关的拦截策略,在排查为何出现漏拦的过程中,我们发现肉眼看到的内容并不完整。显示文本的Unicode后我们找到了问题所在。

首先是正常的输入“财务部”三个字,显示unicode为:\u8D22\u52A1\u90E8


但当拷贝邮件中的发件人时,显示unicode为:\u8D22\u034F\u52A1\u034F \u90E8\u034F


\u034F是组合用字形连接符,属于unicode中的结合附加符号,与零宽字符一样肉眼不可见,但却实际存在。加入该类字符之后一些文本特征的检测就存在被绕过的可能。

目前启发式规则库已针对该类绕过手段编写了相应规则。

注意:该种绕过方式不仅可以用于关键字绕过,也能用于其他领域,例如短网址生成。如下图所示:


将网易云的链接转变为“https://zws.im//”,实际上这个短网址后面跟着一串零宽字符,当浏览器访问时,后端程序反解密后面的零宽字符就能跳转对应的网站。

防护建议

提示

警惕任何需要输入账号密码的场景,尤其是跳转的链接;

  • 不要点开来路不明的短网址。

文中所涉及部分样本IOC

                           URL

  • https[:][/][/]www.skacassam.in/notice/cgi/include/linkedins.com/en-index.php#xxx@xxx.cn

  • https[:][/][/]wrk.linserv.inostudio.net/china/newcodingLinkedin/index.html#xxx@xxx.cn

  • https[:][/][/]www.intosaicommunity.net/images/copuser_img/new/a/linkedins.cn/#xxx@xxx.cn

供稿团队:

天空卫士安全响应中心邮件安全小组