寫在前面的話
近期,研究人員發現并識別了一種利用Instagram進行網絡釣魚的新型惡意活動。在這個惡意活動中,除了獲取目標用戶的Instagram賬號憑證之外,網絡犯罪分子還會嘗試獲取目標用戶的Instagram備份碼。
如果啟用了雙因素身份驗證功能,Instagram將允許其用戶通過驗證碼在無法識別的設備上登錄。如果設備或電子郵箱無法訪問的話,用戶則可以使用備份碼登錄。這種備份碼由5個8位數字組成,每一個碼只能使用一次,并且每當用戶登錄 Instagram 帳戶時都可以重新生成整個列表。
初始向量
下圖所示的網絡釣魚郵件自稱來自Instagram母公司Meta,并暗示目標用戶(即收件人)的Instagram侵犯了版權。此時,威脅行為者會暗示目標用戶點擊釣魚郵件中的“申訴表”,并提醒他們必須在12小時內提出申訴,以此來營造一種緊迫感。如果用戶不申訴,那么他們的賬號將被永久刪除。但是,目標用戶一旦點擊了該按鈕,他們就會被重定向到一個虛假的Meta網站。
在對該釣魚郵件進行深入分析之后,我們可以發現下列可疑的地方:
1、發件人的郵箱域名“contact-helpchannelcopyrights[.]com”根本不屬于Meta或Instagram;
2、申訴按鈕的文本為“跳轉到申訴表格”,但之前的文本中寫的是“跳轉到表格”;
3、申訴表單按鈕鏈接到的是一個Google通知URL;
偽造的Meta網站
當用戶點擊了釣魚郵件中的申訴表個按鈕后,用戶將會被重定向到一個使用Bio Sites托管的網站,而Bio Sites則是一個Squarespace建站平臺,允許用戶實現簡單、快速的單頁面網站搭建,開發人員可以利用Bio Sites網站的流量來實現數字內容獲利。
這個網站“bio[.]site/ignotificationcenters[.]com”偽裝成了合法的Meta門戶網站,其內容也符合網絡釣魚郵件中的主題內容。實際上,這個網站充當了釣魚郵件和實際釣魚網站之間的跳轉橋梁,當用戶點擊“跳轉到確認表格(確認我的賬戶)”按鈕之后,用戶將會被重定向到實際的釣魚網站。
實際的釣魚網站“help-copyrightservice[.]com/forms/2394919023”偽裝成了一個虛假Meta “申訴中心”門戶站點,該網站托管在一個新創建的域名上。
當用戶點擊了“繼續”按鈕之后,就會出現一系列提示,并要求輸入特定的用戶信息。每次用戶單擊“繼續”時,數據都會發送給威脅行為者。
要求用戶提供的第一部分信息就是賬戶名和密碼了,密碼會要求用戶輸入兩次,這可能是威脅行為者希望同時獲取到目標用戶的另一個常用密碼。提交密碼之后,系統會詢問目標用戶的Instagram 帳戶是否啟用了雙因素身份驗證功能。
接下來,釣魚網站會出現一個偽造的雙因素安全驗證確認頁面,如果用戶通過單擊“是”按鈕進行確認,則此時會請求用戶的備份碼。最后一個頁面,負責收集目標用戶的電子郵箱地址和電話號碼。
Bio.site上的其他虛假Meta站點
在對該惡意活動進行分析時,研究人員還在Bio Sites上發現了一些其他的虛假Meta網站,不過這些網站有很多目前都已經停用了。
除此之外,我們還訪問了前文介紹過的“hxxp://bio[.]site/ignotificationcenters[.]com”網站,該網站不僅UI已經被更新了,而且重定向的鏈接也發生了變化,這些情況都表明該活動背后的網絡犯罪分子正在不斷改進和提升他們的攻擊活動。
總結
Instagram給用戶提供了多種登錄方法,而網絡犯罪分子同時也在利用這一點來實施攻擊。在本文描述的攻擊場景中,威脅行為者嘗試竊取并存儲目標用戶的備份碼。在該活動中獲取到的數據隨后可以直接在暗網中出售,或直接接管目標用戶的賬號。為了防止這種情況的發生,廣大用戶情不好共享密碼或備份碼,并謹慎對待這些數據的存儲方式。如果意識到的攻擊行為的發生,請立即更改密碼或重新生成新的備份碼。
入侵威脅指標IoC
hxxps://notifications[.]google[.]com/g/p/ANiao5o1EFnOXe7ZtpiB3GPiSGjA_P9MAahAzZiwf_NPOiblgypFgRvmJNiJE8BYV114DZStcHbGehPWMX3Fv1A-WUMYXzsqasXHSUAXkoE45JCj4i5SxOvwyurHuVlXOgByVR0xRlnsX8-pmOpvVGl2uCjdV3kWjyc2xs2p_585dVP4wfN417eDVprO-jwgU7jtURV-dN6x7ekuU33DHJc7-tN1Pdfhcg
hxxps://bio[.]site/ignotificationcenters[.]com
hxxps://bio[.]site/MetaSupportForCenter
hxxps://bio[.]site/lgsecurited
hxxps://bio[.]site/mediacenterbussienshelp
hxxps://bio[.]site/from
hxxps://help-copyrightservice[.]com/forms/2394919023
hxxps://metaglobalsecuritys.com/appeal/923759232
hxxps://mediahelpcenters[.]com/status-notification/-33/
hxxps://copyrightforappealform[.]com/344742354/
hxxps://mediacenterbussienshelp[.]ml/
hxxps://metafacebookcenter[.]com/887133/
參考資料
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/insta-phish-a-gram/
參考鏈接
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/instagram-phishing-targets-backup-codes/
Anna艷娜
X0_0X
Andrew
Anna艷娜
Andrew
007bug
安全俠
Anna艷娜
安全牛
上官雨寶
FreeBuf
