据外媒报道,钓鱼活动利用UPS官网的XSS漏洞,推送伪装成发票文件的恶意文件。攻击者冒充UPS发送钓鱼邮件,声称包裹异常,需要用户自取。同时提供UPS官网链接,骗人性很强。这次网络钓鱼攻击的一个值得注意的方面是,攻击者利用UPS.com中的XSS漏洞将站点的常规页面修改为合法的下载页面。此漏洞允许威胁行为者通过远程Cloudflare工作人员分发恶意文档,但使其看起来好像是直接从UPS.com下载的。钓鱼邮件提供了许多没有恶意活动的合法链接,但包含一个指向XSS漏洞的链接,该漏洞会在页面打开时将恶意JavaScript注入浏览器(下图):这种钓鱼活动非常巧妙,因为访问URL的用户会看到一个合法的ups.comURL,提示下载发票。这种策略甚至可以导致经验丰富的受害者毫不犹豫地打开发票链接并下载恶意文件。据了解,该恶意文件名为“invoice_1Z7301XR1412220178”,是伪装成UPS的运输发票。当用户打开这个恶意文档时,所有文本都变得不可读,并且文档会提示用户“启用内容”才能正常查看。启用后,宏将尝试下载文件https://divine-bar-3d75.visual-candy.workers.dev/blackhole.png。但是,此URL不再有效,因此无法查看负载。参考:https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-upscom-xss-vuln-to-distribute-malware/【本文为专栏作者「平安牛」原创文章,转载请注明出处转载通过安全牛获取授权(微信公众号id:gooann-sectv)点此阅读作者更多好文
