随着我们继续追踪网络威胁,特别是信用卡欺诈,我们经常会重新发现以前在其他地方遇到过的技术。gydF4y2Ba

在这篇文章中,我们分享一个最近的发现,涉及到一个gydF4y2Bahomoglyph攻击gydF4y2Ba.这种技术已经被利用了一段时间,特别是在IDN同形攻击的钓鱼诈骗中。gydF4y2Ba

这个想法很简单,就是使用看起来一样的字符来欺骗用户。有时这些字符来自不同的语言集,或者只是将字母' i '大写,使它看起来像小写的' l '。gydF4y2Ba

一个威胁行动者在几个域名上使用这种技术来加载favicon文件内流行的Inter skimming工具包。这可能不是他们的第一次竞技表演,因为一些关系表明已经存在gydF4y2BaMagecartgydF4y2Ba组。gydF4y2Ba

发现gydF4y2Ba

我们通过各种方式收集关于网络威胁的信息:从实时爬行网站到找到它们或使用其他工具,如VirusTotal。gydF4y2Ba

虽然编写狩猎规则是一个持续且耗时的过程,但在大型数据集中识别相关威胁也是一项困难的工作。gydF4y2Ba

我们雅拉的一条规则触发了对gydF4y2Ba国米略读工具包gydF4y2Ba上传到VirusTotal的文件。考虑到国际米兰是一个很受欢迎的框架,我们实际上每天都会收到几十条提醒。gydF4y2Ba

图1:使用YARA的VirusTotal狩猎gydF4y2Ba

这个看起来不同,因为检测到的文件不是典型的HTML或JavaScript,而是一个.ico文件。gydF4y2Ba

通过录像搜索寻找文件的一个缺点是,特别是当涉及网络威胁时,我们不知道它们来自哪里。幸运的是,当我们检查文件并看到一个“gate”(数据导出服务器)时,这个给了我们一点提示:gydF4y2Ba

图2:检查任何线索匹配的内容gydF4y2Ba

Homoglyph攻击gydF4y2Ba

乍一看,我们把这个域名读作“cigarpa”gydF4y2BaggydF4y2BaE”,而实际上是“cigarpa”gydF4y2Ba问gydF4y2Bae”。我很快查了一下,确认正确的网址确实是cigarpage.com和cigarpaqe[。com是冒名顶替者。gydF4y2Ba

合法的网站被黑了,并注入了一段引用图标文件的无害代码:gydF4y2Ba

图3:恶意代码注入以加载外部资源gydF4y2Ba

它在从虚假网站加载复制图标时扮演着重要的角色,使用相同的URI路径以尽可能保持它的真实性。这其实不是我们第一次看到撇脂攻击gydF4y2Ba滥用图标文件gydF4y2Ba.gydF4y2Ba

图4:合法网站和诱骗网站并排排列gydF4y2Ba

为什么攻击者从不同的位置加载这个图标的原因变得很明显,因为我们更仔细地检查它。虽然合法的文件很小而且很典型,但是从同形域加载的文件包含一大块JavaScript。gydF4y2Ba

图5:嵌入到图标中的数据gydF4y2Ba

除油船gydF4y2Ba

这个JavaScript最初触发了对我们的Inter skimming kit YARA规则的检测。下面的截图显示了支付页面上被监视的表单字段及其相应的数据。gydF4y2Ba

图6:略读脚本gydF4y2Ba

用于外泄的门具有与用于托管恶意图标文件相同的域。gydF4y2Ba

图7:数据外流请求gydF4y2Ba

同形攻击与Magecart集团有历史联系8gydF4y2Ba

威胁行动者不仅针对一个网站,还针对同一名受害者的多个网站。gydF4y2Ba

看看恶意的基础设施(51.83.209.11),我们可以看到几个域最近注册了相同的同形技术。gydF4y2Ba

图8:同形文字和已知基础设施之间的连接gydF4y2Ba

左边是原始域名,右边是它们的同形版本:gydF4y2Ba

cigarpagydF4y2BaggydF4y2Bae.com cigarpagydF4y2Ba问gydF4y2Bae.comgydF4y2Ba
fgydF4y2Ba我gydF4y2Baeldsupply.com: fgydF4y2BalgydF4y2Baeldsupply.comgydF4y2Ba
赢得gydF4y2BaggydF4y2Basupply.com:赢gydF4y2Ba问gydF4y2Basupply.comgydF4y2Ba

第四个域名脱颖而出:zoplm.com。这也是zopim.com的同形符号,但该域名有一个历史。它之前与gydF4y2BaMagecart组8gydF4y2Ba(RiskIQ) /gydF4y2BaCoffeMokkogydF4y2Ba(Group-IB),并在几个月不活动后最近再次注册。gydF4y2Ba

图9:域zoplm.com的RiskIQ热图gydF4y2Ba

有时被称为CoffeMokko的略读代码与这里所涉及的代码非常不同。然而,根据Group- ib的说法,这个威胁行为者可能重复使用了他人的skimking代码,特别是Group 1 (RiskIQ)在一个skimking也被称为gydF4y2BaGrelosgydF4y2Ba和gydF4y2Ba见过gydF4y2Ba在一些攻击。gydF4y2Ba

此外,第8组为gydF4y2Ba记录gydF4y2Ba高调的入侵,包括与此相关的gydF4y2BaMyPillow妥协gydF4y2Ba.这涉及到注入一个托管在myypiltow.com上的恶意第三方JavaScript(注意myypillow.com上的同形文字)。gydF4y2Ba

虽然同形攻击并不局限于一个威胁参与者,特别是当它涉及到欺骗合法的web属性时,它仍然是有趣的,注意与基础设施重用的相关性。gydF4y2Ba

结合技术gydF4y2Ba

威胁演员喜欢利用任何能给他们提供一层逃避的技术,无论那是多么小的一层。gydF4y2Ba

代码重用给防御者带来了一个问题,因为它模糊了我们所看到的不同攻击之间的界限,并使任何类型的归因变得更加困难。gydF4y2Ba

我们从经验中知道的一件事是,以前使用过的基础设施有重新出现的趋势,无论是来自同一威胁行动者还是不同的行动者。利用已经知道的(可能被列入黑名单的)域名或ip听起来可能适得其反,但它也有它的优势——特别是,当一些被泄露的(从未清理过)网站仍然从这些网站加载第三方脚本时。gydF4y2Ba

我们联系了受害者网站,但也注意到恶意代码已经被删除。必威平台APP恶意软件字节的用户受到保护,免受这种同形攻击。gydF4y2Ba

图10:Malware必威平台APPbytes浏览器保护购物者gydF4y2Ba

妥协的指标gydF4y2Ba

Homoglyph域/ IPgydF4y2Ba

cigarpaqe(。com fleldsupply[。com winqsupply[。com zoplm[。com 51.83.209 [] 11gydF4y2Ba