基于恶意PDF文件的网络钓鱼攻击实例解析

我们会经常收到恶意文档或PDF，许多不法分子往往利用这类文件发动网络钓鱼攻击。为了让更多人了解这种攻击方式，并加以防范，网络安全研究人员Zoziel Pinto Freire剖析了利用PDF发动网络钓鱼攻击的活动。 图1 图1是Zoziel Pinto Freire收到的来自Caixa Economica Federal银行的电子邮件，可以看到发件人使用Gmail服务和一个奇怪的名称。 图2 使用MXtoolbox验证该电子邮件的标头，可以看到发件人(即攻击者)使用的IP。 图3 图3是攻击者使用的IP信誉。 图4 通过图4，我们可以看到这个IP经常被提及从事恶意活动。 图5 在VPS(Kali Linux)中下载这个文件后，使用peepdf对文件结构进行分析，在对象3和对象5中找到了2个URI，见图5。 图6 使用pdf-parser检查了对象3和对象5后，在对象3中发现了一个恶意的URL，见图6。 图7 在VirusTotal中检查这个URL，发现其信誉仍然很差，见图7。 图8 在Kali中打开文件后，可以看到它有那家银行的独特徽标和点击按钮，点击该按钮后被定向到一个URL，见图8。 图9 点击该按钮后，URL：hxxp://cefonlineencaminha[.]z13[.[]web[.]core[.]windows[.]net重定向到另一个URL：ms[.]meuappavisos[.]com，见图9。 图10 在检查了URL信誉之后，发现它经常被提及从事恶意活动，见图10。 总之，打开这类电子邮件时，务必要注意每个细节，因为不这样的话可能会将自己的系统置于险境，导致数据被泄露和遭到黑客入侵等。 Zoziel Pinto Freire在分析过程中使用的工具如下： •Kali Linux——https://www.kali.org/get-kali/ •MX ToolBox—— https://mxtoolbox.com •pdf-parser—— https://blog.didierstevens.com/programs/pdf-tools/ •peepdf——https://github.com/jesparza/peepdf •Aubse IPd—— https://www.abuseipdb.com •Virus Total——https://www.virustotal.com/