新的垃圾邮件运动利用DNS记录攻击受害者

关注 2019-06-12 04:02:22 查看数 10112 ,评论数 0 资讯 Web安全


研究人员发现了一个新的针对英国用户的垃圾邮件运动,MyOnlineSecurity.com网站发现了大量与此次活动相关的垃圾邮件,诈骗者试图用他们的方法破坏DNS。垃圾邮件包含HTML附件,单击该附件可将用户重定向到欺诈交易网站。


主要发现


该活动专门针对英国用户。如MyOnlineSecurity.com所述,欺诈网站https://appteslerapp[.]com仅为英国用户提供服务,英国以外的用户无法打开该网页,会显示空白页面或“加载”页面。


活动中使用的电子邮件邮箱来自早前被Necurs僵尸网络使用的IP地址。


恶意HTML附件包含一个base64编码的URL,用于调用谷歌DNS服务来查找域。进一步分析,是DNS TXT记录指示HTML附件将用户重定向到欺诈站点。


活动中使用的域名最终解析为一个由乌克兰公司AS48031托管的单一域名。


研究人员发现了一场相当短暂、数量相当少的垃圾邮件攻击,看起来像是通过Necurs僵尸网络发起的,并且在DNS系统中使用了一个“新的”安全漏洞。该活动只针对英国,只有一个英国IP号码将重定向到scumware网站。其他国家用户完全不受次活动影响。


到目前为止,最终的目标网站是https://appteslerapp.com/,该网站正在推行一个高风险的股票交易计划。


但在这种情况下,实际的诈骗网站并不值得特别的关注,这完全取决于攻击者如何把受害者重定向到诈骗网站。很有可能这只是一次尝试,看看能不能用同样的方法分发恶意软件。


今年早些时候,研究人员发现了一系列涉及Godaddy的DNS攻击活动,涉及到其“悬空域名”,目前该漏洞已被修复。


此次活动与“悬空域名”有一些相似之处,但不涉及Godaddy,而是许多其他托管公司。


到目前为止,研究人员总共收到了六封DNS妥协方案电子邮件,这六封邮件都很简单,并带有HTML附件。


所有的电子邮件都来自以前被Necurs僵尸网络使用的IP号码。“发件人”框中列出的域不能追溯到它们的IP号码。当研究人员检查这些电子邮件的html文件附件时,它们基本上是相同的,文件中的脚本如下所示。


其中最重要的是var v = window.atob(" ahr0chm6ly9kbnmuz29vz2xllmnvs9yznvp25hbwu9zmv0y2guzmfvbnd2ennvm91cm1hemrjb21wyw55lm5ldcz0exblpvryva == "); ,它是一个base64编码的url,调用谷歌DNS服务来查找特定的域。


窗口中的base .icu域每隔几分钟更换一次。此外,每次访问谷歌rdns解析器时,子域名和html文件名也会更改,因此没有人会被重定向到完全相同的位置。


所有icu域都将把英国用户重定向到https://appteslerapp.com/,但在研究人员的测试中,其其它国家的用户并不能进入该网站,只会显示一个简单的加载消息或空白页面。


Fetch指令中的所有域都使用相同的dns服务器:


  • ns1.firstdnshoster.com
  • ns2.firstdnshoster.com
  • 188.225.25.33
  • 104.193.252.156
  • 185.209.160.70
  • 190.2.147.146
  • 31.148.219.110

此外,所有这些域名解析到176.103.48.228——一个著名的乌克兰托管公司AS48031,以恶意软件、网络钓鱼和诈骗而出名,所有.icu站点也由相同的IP 176.103.48.228托管。


在过去的一个月左右,所有的icu域名都是通过namecheap注册的,这些域名通常的特价销售,价格都不到2美元,这使得犯罪分子可以非常容易地购买到数百个域名。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...