您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
UPS官網(wǎng)被網(wǎng)絡釣魚活動用來分發(fā)惡意軟件
據(jù)國外媒體報道,一個網(wǎng)絡釣魚活動利用UPS官網(wǎng)的一個XSS漏洞來推送偽裝成發(fā)票文檔的惡意軟件文件,攻擊者假冒UPS發(fā)送釣魚郵件,聲稱包裹出現(xiàn)異常,需要用戶自取,同時提供了一個指向UPS官網(wǎng)的鏈接,極具欺騙性。
這次網(wǎng)絡釣魚攻擊值得關注的一點是,攻擊者利用UPS.com中的XSS漏洞將站點的常規(guī)頁面修改為合法的下載頁面。此漏洞允許威脅行為者通過遠程Cloudflare worker分發(fā)惡意文檔,但使其看起來像是直接從UPS.com下載的。
釣魚郵件提供了許多沒有惡意行為的合法鏈接,但包含一個XSS漏洞利用的鏈接,該漏洞在打開頁面時將惡意JavaScript注入瀏覽器(下圖):
這個網(wǎng)絡釣魚活動的手段非常高明,因為訪問URL的用戶會看到一個合法的ups.com URL,提示下載發(fā)票。這種策略可能會導致即使是經(jīng)驗豐富的受害者也會毫不猶豫地打開發(fā)票鏈接,進而下載惡意文件。據(jù)了解,該惡意文件名為“invoice_1Z7301XR1412220178”,是偽裝成UPS的運輸發(fā)票。
當用戶打開這個惡意文檔時,所有文本都將無法讀取,并且文檔會提示用戶“啟用內(nèi)容”以正確查看它。
啟用后,宏將嘗試下載文件https://divine-bar-3d75.visual-candy.workers.dev/blackhole.png。但是,此URL不再有效,因此無法查看有效負載。
參考資料
https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-upscom-xss-vuln-to-distribute-malware/
來源:安全牛