我们经常会收到恶意文档或PDF,很多不法分子经常利用这些文件发起钓鱼攻击。为了让更多人了解这种攻击方式并加以防范,网络安全研究员ZozielPintoFreire对利用PDF发起钓鱼攻击的活动进行了分析。图1图1是ZozielPintoFreire从CaixaEconomicaFederalBank收到的一封电子邮件。可以看出发件人使用的是Gmail服务和一个陌生的名字。图2使用MXtoolbox验证这封邮件的邮件头,可以看到发件人(即攻击者)使用的IP。图3图3是攻击者使用的IP信誉。图4从图4中,我们可以看到该IP经常被提及用于恶意活动。图5在VPS(KaliLinux)中下载此文件后,使用peepdf分析文件结构,发现object3和object5中有2个URI,如图5所示。图6用pdf查看Object3和Object5后-解析器,在Object3中发现了一个恶意URL,见图6图7在VirusTotal中检查这个URL仍然有一个坏名声,见图7图8在Kali中打开文件后,可以看到它有独特的标识该银行的地址和一个指向URL的按钮,请参见图8。图9单击按钮后,URL:hxxp://cefonlineencaminha[.]z13[.[]web[.]core[.]windows[.]net被重定向到另一个URL:ms[.]meuappavisos[.]com,见图9。图10查看URL信誉后,发现它经常被恶意活动提及,见图10。总之,打开此类电子邮件时注意每个细节很重要,因为不这样做会使您的系统面临风险,导致数据泄露,hac国王等ZozielPintoFreire在分析过程中使用的工具如下:KaliLinux-https://www.kali.org/get-kali/MXToolBox-https://mxtoolbox.compdf-parser-https://blog.didierstevens.com/programs/pdf-tools/peepdf-https://github.com/jesparza/peepdfAubseIPd-https://www.abuseipdb.com病毒总数-https://www.virustotal.com/参考链接:https://securityaffairs.co/wordpress/127946/hacking/analyzing-phishing-attacks-pdfs.html
