内存安全周报第148期 | 黑客利用谷歌AMP规避网络钓鱼攻击
一、黑客利用谷歌AMP规避网络钓鱼攻击 (8.1)
近期,网络钓鱼活动增多,攻击者利用Google Accelerated Mobile Pages (AMP)规避电子邮件安全措施,成功进入企业员工的收件箱。
详细情况
Google AMP是Google与30个合作伙伴联合开发的开源HTML框架,旨在提高移动设备上网页内容的加载速度。AMP页面托管在谷歌的服务器上,通过对页面内容简化并预加载媒体信息,实现信息的迅速传递。
据了解,近期利用AMP进行网络钓鱼攻击的事件急剧上升,表明攻击者很有可能将其作为新一轮攻击的手段。虽然“google.com/amp/s/”这一路径较为常见,但若要阻止其恶意运用,也可能对其他正当使用Google AMP服务的场景产生负面影响。然而,对这些路径进行标记可能是当前情况下最为明智的做法,以此方式来提醒接收者警惕潜在的恶意网络攻击活动。
攻击者不仅充分利用谷歌AMP服务进行网络钓鱼,还运用了多种其他技术手段,以规避检测,从而更有效地提升了攻击成功率。例如,他们采用基于图像的HTML电子邮件,而非传统的纯文本主体,旨在干扰文本扫描仪对消息内容中常见网络钓鱼术语的辨识能力。此外,攻击者还利用额外的重定向步骤,滥用Microsoft.com URL,将受害者引导至Google AMP域,最终将他们引诱至实际的网络钓鱼站点。最后,攻击者还运用了Cloudflare的CAPTCHA服务,以阻挡安全机器人自动分析网络钓鱼页面,从而有效阻止爬虫访问。
参考链接
二、黑客可以利用Microsoft Office的可执行文件下载恶意软件(8.3)
近期,Micorsoft Outlook电子邮件客户端和Access数据库管理系统的主要可执行文件已被黑客纳入LOLBAS(Living-off-the-Land Binaries and Scripts)文件清单,构成潜在的安全威胁。
详细情况
Micorsoft Outlook电子邮件客户端和Access数据库管理系统的主要可执行文件是合法的二进制文件和脚本,属于Windows操作系统的自带文件,或通过Microsoft官方渠道下载获取。然而,近期网络攻击行动揭示了这些文件可能被滥用,对系统安全造成潜在威胁。
尤其值得关注的是,Microsoft Office的二进制文件也成为了潜在的攻击目标。研究人员在Microsoft Office套件中的可执行文件中发现了三个可能被滥用为恶意下载器的文件,分别是MsoHtmEd.exe、MSPub.exe和ProtocolHandler.exe,这些文件符合LOLBAS的滥用标准。目前,LOLBAS项目已列出150多个与Windows相关的二进制文件、库和脚本,黑客可以利用这些文件下载恶意文件,甚至规避批准程序列表的安全限制。
据了解,黑客可以利用MSPub.exe、Outlook.exe和MSAccess.exe等文件下载第三方文件。虽然已确认MSPub.exe能够从远程服务器下载任意有效载荷,但另外两个文件尚未被纳入LOLBAS列表。此外,其他软件也存在潜在的滥用风险,例如Python开发工具PyCharm套件中的elevator.exe,和PyCharm目录中的WinProcessListHelper.exe。
参考链接
