收集垂纶泛滥,这次轮到谷歌文档
克日,收集安详公司Fortinet的FortiGuard尝试室研究职员发明一场正在举办中的谷歌文档(Google Docs)恶意勾当。收集犯法分子操作某些知名收集安详公司的名义,全心计划了奇妙的收集垂纶诱饵,其进攻方针为Windows、Android和MacOS平台的用户。 本年早些时辰,研究职员就发明基于特定链接会见计策的谷歌文档可以被搜刮呆板人索引,条件是搜刮呆板人发明到这些链接。这最终导致很多组织的内部文件果真。 恶意勾当 据Fortinet的安详研究职员称,在他们说明的168个包括环球组织敏感细节的谷歌搜刮功效中,有150多个(高出90%!)是由收集犯法分子引起的。 “Fortinet的观测功效并非特例。我们相识到,假如搜刮收集安详市场中任何首要参加者的名字,我们会在有时中发明上百个或更多的恶意文件,”Fortinet研究职员在一份陈诉中说,“从当时起,我们才意识到谷歌文档中已被插入无数的恶意文档。” 恶意文件说明 研究职员发明,这些恶意文档都是用英文或俄文写成的。尽量存在说话差别,,但这些文档包括配合的布局——有一个大问题,然后是一个小的随机屏幕截图,不必然与问题相干,最后是一个也用大字体写的超链接。在下图中,可以看到此类文档的几个示例: 这个恶意勾当的另一个明显特点是,样本是动态编译和署名的。研究职员较量了样本的PE内的TimeStamp字段和下载的现实时刻,两者之间的差别不高出5分钟。另外,每个样本在下载时都行使沟通的有用数字署名举办署名。 幕后进攻者? 通过一些究竟证据,研究职员发明白关于进攻者的蛛丝马迹: 1.恶意文档中最常见的两种说话是英语和俄语。细心看恶意文档,可以发明从第二行开始就是俄文了。 2.进攻者滥用的 thimbleprojects[.]org项目名称为dedzsumkoi,Dedzsumkoi对应俄语单词Дедссумкой; 3.进攻者行使了VK.com的Logo,这是俄语国度中受接待的一款交际收集平台; 4.进攻者行使的用户署理是Medunja Solodunnja 6.0.0; 5.Medunja Solodunnja对应俄语单词Медуня-солодуня,这是乌克兰利沃夫四面一产业地饼干制造商的名字。 研究职员得出的结论是,参加此次恶意勾当的犯法分子都能干俄语,他们也许很认识乌克兰利沃夫四面的当地饼干制造商,这使研究职员有很大的也许机可以或许发明其地址的位置。 当说明进攻者行使域名的注册数据时,可以发明险些全部域名注册数据都受到WhoisGuard等处事的掩护。4requests[.]org组织也不破例——今朝它的全部注册数据是潜匿不行见的。但当搜查该域名的whois汗青记录时,研究职员发明它最初是在乌克兰利沃夫注册的... 研究职员无法验证这里所提供的注册数据是真是假,但这些数据与其余观测功效同等。研究职员搜查了用邮箱egonow999[@]gmail.com注册的其余域名,总共有321个。大大都域名都是最近才注册的,它们的名字看起来并不像会用于任何正当动作。 “我们说明白这个恶意收集中行使的很多重定向链,还下载了几个样本,”研究职员说,“结论是,当前该收集的方针是滥用其余应用措施的相助项目。可是,这个方针随时都可以改变。” 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |