Royal Mail Phish Scams仍在流通中,慢慢升级他们的能力,并在更复杂的恶意软件攻击中部署的逃避工具升级。

通常,我们看到的网站质量大大变化。许多假皇家邮件页面是借用时间存在的曲奇切割机。运营商知道他们的骗局是今天的案例,明天去了。这些虚假页面通常由主机快速删除。结果,许多人存在于无努力的区域“图形设计是我的激情“。

有时,这些网站会从他们碰巧模仿的官方页面中提取一些信息。这可以采取窃取图像文件的形式,在其他情况下,他们只会直接链接实时图像或设计。

但是我们是什么没有在挖掘这些虚假门户网站时,我们看到了一些似乎是研究人员威慑因素的东西。直到现在。

关闭调查

恶意软件作者通常会掩盖其代码的内部工作,或阻止文件在虚拟机内执行。在VM内完成了大量分析,因为它比感染“真正的”PC更便宜,耗时越少,然后滚动所有东西。这就是为什么恶意软件经常寻找它坐在虚拟环境内的线索,然后拒绝做任何事情。

类似地,恶意软件门户依赖于正确的交通类型.如果潜在受害者没有运行所需的过时软件,那么花一大笔钱在开发工具上是没有意义的。重定向门就像一种保镖,确保正确的名字出现在名单上。运行旧版本的Flash?进来吧。一个运行安全软件的打过补丁的系统?抱歉,这是一个独家派对。

坐在虚拟测试环境中的恶意软件文件进行的另一个类似检查是寻找鼠标移动和常规桌面活动,如没有PC屏幕/监视器。如果没有这种情况发生,如果没有显示桌面的屏幕是证据,则恶意软件会假定“恶意软件研究”并且不会从其外壳中出来。

最后,我们来到网络钓鱼页面。一些phishes仅针对移动用户,并将检查浏览器的推荐代理。如果它说“Chrome,Desktop”该网站将发送访问者。如果它说“Chrome,Mobile”,他们将被允许进入Phish的核心。我们对此皇家邮件伪造了什么,是一个额外的复杂层。实际上,这是门口的恶意软件门户弹力,但现在他们对包裹交付大喊大叫。

我们看一下好吗?

皇家邮政的网络钓鱼

它以通常的SMS消息开始,声称一个包裹已经被重定向,内容如下:

邮局:由于未付送货费,您的包裹已被重定向到您当地的邮局分支机构。重新安排交货请访问:[删除URL]

这里需要注意的是,这与实际的皇家邮政流程有多接近。我们的3月份的最后一个例子只是含糊地提到了等待投递的包裹。很多人都希望能怀疑到一些被怀疑的事情。在这里,不用付邮费的包裹会被送到最近的邮局去领取。

对于任何熟悉这种攻击的通用短信爆炸的人来说,这可能是攻击者需要的脚。

虚拟的PHISH?不,谢谢

请记住,根据您的设置,我们所说的网站过滤您或从骗局中过滤或退出骗局?这就是我们在这里的内容。当您点击链接访问假皇家邮件页面时,在引擎盖下有一个公平的代码,嗅探潜在的虚拟机。

下面的代码测试WebGL渲染,它可能与(例如)VirtualBox或RDP(远程桌面协议)相关联。它还想知道网站访问者是否有展示。记住,没有屏幕可能是虚拟机中自动研究工具的标志。这是恶意软件分析逃避领域的一种策略。

最后,网站在代码中加入了大量的占位符文本。这个文本似乎在Tor浏览器中造成了大量的错误。Tor是人们搜索网站来帮助自己保持匿名的另一种方式,所以这对网络钓鱼网页创建者来说是一个聪明的举动。

对于那些好奇的人,文本执行Lorem Ipsum文本的占位符功能。在这个例子中,它实际上被调用了培根Ipsum..虽然破坏Tor可能是偶然的,但考虑到展示的其他措施,这似乎太好了,不像是真的。

再次强调,这不是我们在虚假的皇家邮政中看到的基于网络钓鱼的妄想。破坏Tor的代码,检查缺失的计算机屏幕,嗅探可能表示虚拟机或RDP的代码……这是门上保镖概念的全新水平。

这个皇家邮政的网络钓鱼是做什么的?

假设保安允许某人进入,这是一个相当标准的皇家邮政网络钓鱼场景。诈骗者询问姓名、出生日期、地址、手机号码和电子邮件地址。

在那之后,受害者被要求通过他们借记卡上的信息提供基本的银行详细信息。那是姓名,卡号,有效期,安全码,账号和分类码。

如果完整输入并提交了付款细节,网站会弹出一条信息,感谢受害者的付款。您的包裹很快就会寄出,寄出后我们会通知您的。

此时,还有重定向到真正的皇家邮件网站。我们建议唯一剩下的是拨打银行,并尽快整理替代卡/帐户块。

把骗局退回给发件人

我们已经看过了这些攻击如何毁灭.攻击者变得更聪明,更有选择性地对他们想要陷入困境的人。使研究人员难以使他们更容易,所以我们都对绕过这些假货并了解要寻找什么的既得利益。如果您或您的家人担心Spishing,我们正好有这样的东西.假皇家邮件消息不会很快进入,所以请保持保护措施并仔细检查这些消息。如果有疑问,请联系您当地的仓库可能是您可以制作的最佳反应。