大量伪造 Amazon Japan 邮件的网络钓鱼活动

• Z时代
• 2024-01-10
• 分类：IT

译者：知道创宇404实验室翻译组

原文链接：https://www.proofpoint.com/us/blog/threat-insight/geofenced-amazon-japan-credential-phishing-volumes-rival-emotet

介绍

自2020年8月以来，Proofpoint的研究人员跟踪了大量的Amazon Japan凭证和信息网络钓鱼活动，这种可疑活动可追溯到2020年6月。这些信息冒充Amazon Japan，暗示接收者需要检查他们的帐户，以确认“所有权”或“更新的付款信息”。单击邮件中的链接后，收件人将进入以Amazon为主题的凭证仿冒登录页面，这些页面收集凭证、个人识别信息（PII）和信用卡号码。这些信息已经被发送到日本的某些组织。这些页面被防护，以确保只有基于日本的收件人才能被带到凭证仿冒页面。

虽然像Amazon这样的流行品牌经常在凭证钓鱼活动中被滥用，但该活动的邮件信息量非常大。这些活动持续不断，每天发送数十万条信息。截至10月中旬，有时一天内收到的信息超过100万条，与Emotet的信息量不相上下。

诱饵和登陆页面

这些信息是精心制作的日语诱饵，提示收件人的信息需要更新或其帐户已被锁定：

• Amazon.co.jpアカウント所有権の证明（名前，その他个人情报）の确认（“ Amazon.co.jp帐户（姓名和其他个人信息）的所有权证明的确认”）（图1）
• お支払い方法の情报を更新（“更新的付款方式信息”）（图2）
• アカウントがロックされたので，ご注意下さい（“请注意，您的帐户已被锁定”）（图3）

图1：带有主题的诱惑，“确认Amazon.co.jp帐户的所有权证明（名称和其他个人信息）”

图2：带有主题的诱饵，“更新的付款方式信息”

图3：带有主题的诱饵，“请注意您的帐户已被锁定”

邮件中的图片，比如Amazon的logo，都是从免费的图片托管服务中热链接而来的，同样的图片网址已经在多个活动中被观察到。

这些信息声称来自Amazon，尽管它们的电子邮件地址伪装的不太好，例如以下示例：

• rmlirozna[@]pw[.]com
• fwgajk[@]zfpx[.]cn
• info[@]bnwuabd[.]xyz
• dc[@]usodeavp[.]com

到2020年10月初，他们在努力使发件人地址看起来合法：

• amaozn[@]ama2on[.]buzz
• accout-update[@]amazon[.]co.jp
• account-update[@]amazon[.]com
• admin[@]amazon-mail[.]golf

在检查消息的URLs时，我们看到它们包含OpenID的参数（图4），这是Amazon Japan使用的身份验证协议。这些URL似乎没有将用户带到OpenID实现中，但是URL字符串中的参数看起来更合法。

我们确定了一些URL中的占位符值，这表明有些消息可能过早发送，或者相应的值不可用（图4）。

图4：带有BRECEIVER_ADDRESS和BRAND_TEXT变量的URL

他们在某些URL中使用了一个占位符电子邮件地址“a@b.c”（图5）。在观察到的其他URL中，收件人电子邮件地址用来填充此参数。

图5：URL用a@b.c和OpenID路径代替变量

单击后，消息中的geofenced链接会将用户带到一个冒充的Amazon Japan登录页面（图6），如果用户看起来不在日本，则转到实际的Amazon Japan登录页面。

图6：欺骗的Amazon Japan登录页面

使用Amazon用户名和密码“登录”后，该用户将被带到一个表单，该表单收集各种PII，例如地址，生日和电话号码（图7）。

图7：网络钓鱼登陆页面，要求用户的国家，名称，生日，邮政编码，县（州），街道地址，商户名称（可选）和电话号码

该表单还收集信用卡号（通过在同一站点上托管的脚本进行松散地验证）和邮政编码（通过对第三方服务的API调用进行验证）（图8、9）。有趣的是，虽然我们提供的邮政编码不是合法的日语邮政编码，但是在提交信息时未返回任何错误。

图8：指示最初提供的信用卡号（长度错误的随机数字字符串）无效

图9：截取的流量说明了对“zipcloud.ibsnet[.]co.jp”的调用以进行邮政编码验证，以及对“/ap/actions/validate?cxdi=”的调用以进行信用卡号验证。

提交有效信息后，告知用户现在可以访问帐户，并重定向到amazon.co[.]jp的真实Amazon Japan网站。

图10：提交后页面通知用户可以访问帐户

信息量

图11：信息量，2020年8月至10月

自8月中旬以来，Proofpoint一直在跟踪这些消息，目前已经确定这与2020年6月的活动是同一个组织。尽管消息以日语显示，并且登录页面已设置为日语IP地址，但除了位于日本的业务以外，收件人或行业之间没有明确的模式。在未来几个月中，邮件量可能会继续增加。

基础设施

通常，凭据仿冒登录页是一个IP地址，后跟“/ap/signin”：

• hxxp://103.192.179[.]54/ap/signin

很少使用域来代替IP地址：

• 00pozrjbpm[.]xyz/ap/signin

由于攻击者倾向于为每个活动采用新的IP地址，而不是重用IP地址，因此，数百个IP地址已在多个活动中使用。IP地址属于多种自治系统，在地理位置或提供者之间没有明确的模式。

图12：2020年8月至10月，迄今为止诱饵中使用的IP地址的Top AS名称

使用的域是.xyz或.cn tld，有些域已经在多个活动中观察到。.xyz域名通过GoDaddy注册，而*.cn域名则有一个发起注册商（阿里云计算）。

8月30日-9月5日活动登录页域

虽然这些域的注册者数据在我们检查的时候已经被编辑过了，但是我们发现了“创建日期”和几个注册者详细信息字段之间的共性。

9月6-12日活动登录页域

除了从8月30日至9月5日的活动中的00pozrjbpm[.]xyz之外，9月6日至12日活动的域具有共同的特性。与前面的一组域一样，创建日期和注册者信息表明它们可能以某种方式相关。此外，“rxbnn3[@]163[.]com”是一个多产的域名注册人。除了上面显示的与rxbnn3[@]163[.]com关联的域外，该电子邮件还链接到许多域生成算法：

• swwkppe[.]cn
• lmkafwgi[.]cn
• pdscmkq[.]cn
• awsmgrc[.]cn

结论

Amazon的品牌通常会受到攻击，但这次活动的数量和持续性使他们与以往Amazon主题的活动有所不同。消息资产、登录页的一致重用和消息量的稳步增长表明，这种活动可能是由僵尸网络驱动的。此外，周末消息量并没有明显的停顿，正如我们有时观察到自动化程度较低的操作。如果这确实是由僵尸网络驱动的，那么消息量不太可能会很快减少。攻击者通常会对其操作进行渐进式的更改，其他的品牌可能是未来几个月攻击者的方向。

IOCs

以上是 大量伪造 Amazon Japan 邮件的网络钓鱼活动 的全部内容， 来源链接： utcz.com/p/199756.html