新型垃圾邮件运动利用DNS记录攻击受害者

发布时间:2019-06-13     来源:Mottoin   

       研究人员发现了一个新的针对英国用户的垃圾邮件运动,MyOnlineSecurity.com网站发现了大量与此次活动相关的垃圾邮件,诈骗者试图用他们的方法破坏DNS。垃圾邮件包含HTML附件,单击该附件可将用户重定向到欺诈交易网站。

       该活动专门针对英国用户。如MyOnlineSecurity.com所述,欺诈网站https://appteslerapp[.]com仅为英国用户提供服务,英国以外的用户无法打开该网页,会显示空白页面或“加载”页面。

       活动中使用的电子邮件邮箱来自早前被Necurs僵尸网络使用的IP地址。

       恶意HTML附件包含一个base64编码的URL,用于调用谷歌DNS服务来查找域。进一步分析,是DNS TXT记录指示HTML附件将用户重定向到欺诈站点。

       活动中使用的域名最终解析为一个由乌克兰公司AS48031托管的单一域名。

       研究人员发现了一场相当短暂、数量相当少的垃圾邮件攻击,看起来像是通过Necurs僵尸网络发起的,并且在DNS系统中使用了一个“新的”安全漏洞。该活动只针对英国,只有一个英国IP号码将重定向到scumware网站。其他国家用户完全不受次活动影响。

       到目前为止,最终的目标网站是https://appteslerapp.com/,该网站正在推行一个高风险的股票交易计划。

       但在这种情况下,实际的诈骗网站并不值得特别的关注,这完全取决于攻击者如何把受害者重定向到诈骗网站。很有可能这只是一次尝试,看看能不能用同样的方法分发恶意软件。

       今年早些时候,研究人员发现了一系列涉及Godaddy的DNS攻击活动,涉及到其“悬空域名”,目前该漏洞已被修复。

       此次活动与“悬空域名”有一些相似之处,但不涉及Godaddy,而是许多其他托管公司。

       到目前为止,研究人员总共收到了六封DNS妥协方案电子邮件,这六封邮件都很简单,并带有HTML附件。

       所有的电子邮件都来自以前被Necurs僵尸网络使用的IP号码。“发件人”框中列出的域不能追溯到它们的IP号码。

       窗口中的base .icu域每隔几分钟更换一次。此外,每次访问谷歌rdns解析器时,子域名和html文件名也会更改,因此没有人会被重定向到完全相同的位置。

       所有icu域都将把英国用户重定向到https://appteslerapp.com/,但在研究人员的测试中,其其它国家的用户并不能进入该网站,只会显示一个简单的加载消息或空白页面。

       Fetch指令中的所有域都使用相同的dns服务器。

       此外,所有这些域名解析到176.103.48.228——一个著名的乌克兰托管公司AS48031,以恶意软件、网络钓鱼和诈骗而出名,所有.icu站点也由相同的IP 176.103.48.228托管。

       在过去的一个月左右,所有的icu域名都是通过namecheap注册的,这些域名通常的特价销售,价格都不到2美元,这使得犯罪分子可以非常容易地购买到数百个域名。



原文地址: http://www.mottoin.com/detail/4058.html9

网安时情快速查询

最新漏洞

更多