最近,一种利用谷歌加速移动页面(AMP)的新型网络钓鱼策略已经进入威胁领域,并被证明在达到预定目标方面非常成功。谷歌AMP是由谷歌和30个合作伙伴共同开发的一个开源的HTML框架,旨在加快网页内容在移动设备上的加载速度。
反钓鱼保护公司Confense分析发现,这些活动所涉的网站托管在Google.com或Google.co. uk上,这两个都被大多数用户认为是可信的域。这种网络钓鱼活动不仅使用Google AMP URL来规避检测,而且还结合了其他许多已知可以成功绕过电子邮件安全基础设施的战术、技术和程序(TTPs)。
要点
- 威胁行为者采用的一种新策略是利用谷歌AMP URL作为嵌入其网络钓鱼电子邮件中的链接。这些链接托管在受信任的域中,并且已被证明能够成功地到达企业级员工。
- 网络钓鱼中使用的谷歌AMP URL于2023年5月开始出现,且目前仍在继续传播,目标是员工的登录凭据。
- 使用这种策略的攻击活动已被证明是非常成功的,并且正在使用其他已知能够绕过电子邮件安全基础设施的TTP。Cofense观察到以下策略被纳入使用
Google AMP URL的活动:
- 可信域经常在网络钓鱼活动的每个阶段使用,而不仅仅包括最初的Google域。
- AMP URL会触发重定向到恶意钓鱼网站,这个步骤还额外增加了一个干扰分析的层。
- 已经使用了基于图像的网络钓鱼邮件。这使得攻击者可以通过使用包含恶意嵌入链接的编码HTML图像替换正常的文本主体来破坏分析。
- Cloudflare的CAPTCHA服务在网络钓鱼活动中一直是一种常用的滥用策略,因此它们出现在这里也就不足为奇了。CAPTCHA服务破坏了自动分析,并要求对每个网络钓鱼活动进行手动分析。
谷歌AMP:被滥用作网络钓鱼的合法应用程序
Google AMP是一个Web组件框架,允许用户创建针对移动设备进行优化的网页。谷歌允许每个网页在谷歌搜索中可见,并可以使用谷歌AMP缓存和谷歌分析,这两种工具都为用户提供了额外的功能来跟踪其他用户在AMP页面上的互动。Google AMP提供的另一个特性是,网页最初托管在Google AMP URL上,如图1中的示例所示。这意味着每个URL都托管在https://www.google.com/amp/s/或https://www.google.co.uk/amp/s/上。在下面的示例中,URL的左半部分是合法的Google AMP路径,右半部分是Google AMP用户设置的网页。要访问该URL,用户可以直接访问网页链接,也可以通过该URL的扩展版本访问网页链接。
【图1:Google AMP URL示例】
谷歌AMP吸引合法用户的功能也可能吸引试图出于恶意目的而使用它的威胁行为者。网络钓鱼威胁行为者已经在其网络钓鱼邮件中使用Google AMP URL路径来托管恶意网页,以试图窃取电子邮件登录凭据。对于电子邮件安全基础设施来说,通常很难检测到这种电子邮件的恶意属性,因为这些URL托管在合法的Google域上。Google分析的加入还为威胁行为者提供了一种跟踪其网络钓鱼页面内用户交互的方法。图2显示了一个使用Google AMP托管的网络钓鱼URL的真实示例。Google AMP URL的行为非常类似于重定向,将用户从初始URL重定向到路径中找到的URL——在本例中,即托管在域netbitsfibra[.]com上的URL。
【图2:到达预期目标的真实Google AMP网络钓鱼示例】
监控数据
在监控网络钓鱼活动时,重要的是要关注那些重要的活动。在到达预定目标之前被阻止的网络钓鱼URL不会构成威胁。在这次活动中,Google AMP URL被证明非常成功地接触到了受安全电子邮件网关(SEG)保护的用户。图3显示了Cofense每周在预期目标收件箱中观察到的包含Google AMP链接的网络钓鱼电子邮件的数量。由于各种原因,这些电子邮件已被证明能够成功地到达他们的预期目标,其主要目的是窃取员工的电子邮件登录凭据。
【图3:每周滥用Google AMP的网络钓鱼邮件数量】
滥用谷歌AMP服务的网络钓鱼活动在5月份开始出现,此后一直没有消失。总的来说,交易量在最近几周急剧波动,5月29日和7月10日这一周,这种策略达到了新的高度。在6月15日,研究人员发现策略上发生了一些变化,包括在Google AMP URL中使用Google.co.uk。虽然整体策略保持不变,但新的URL托管在谷歌的英国顶级域名上。
Cofense数据显示,在观察到的所有Google AMP URL中,大约77%托管在域名google.com上,23%托管在域名Google .co.uk上。URL路径是这种网络钓鱼活动的一个很好的指标,但由于合法使用,很难完全阻止“google.com/amp/s/”。建议组织在完全阻止用户之前,讨论此路径的合法用途。尽管阻塞路径可能很困难,但这可能是用它标记URL的好机会。
【图4:使用Google AMP的网络钓鱼邮件所用域名的比较结果】
威胁行为者将最新战术与其他可行TTP结合起来
事实证明,谷歌AMP网络钓鱼活动的成功率极高。这可能得益于每个URL所托管的Google域的可信状态和合法性。虽然这个理由可能是充分的,但使用这种新策略的威胁行为者也结合了其他已知的可靠方法,以进一步规避网络钓鱼电子邮件检测。研究人员在使用Google AMP URL作为网络钓鱼邮件内嵌入链接的各种网络钓鱼邮件中,观察到以下TTP:
可信域:Google AMP策略是有效的,因为它结合了在可信域中托管URL和从Google AMP URL到网络钓鱼站点的重定向过程。可信域使自动分析变得困难,因为用户不能简单地直接阻止恶意URL的合法部分。
基于图像的网络钓鱼电子邮件:研究人员观察到的一些电子邮件是基于图像的网络钓鱼电子邮件。这意味着电子邮件不包含传统的电子邮件正文,而是包含HTML图像。与基于文本的电子邮件相比,这种性质的电子邮件更难检测。这是由于图像在电子邮件的标题中增加了更多的噪音,可以混淆扫描电子邮件文本的安全解决方案。图5所示的是在使用Google AMP URL的用户收件箱中发现的网络钓鱼电子邮件。整个图像是可点击的,并引导用户进入网络钓鱼攻击的下一步。这些电子邮件背后的诱饵各不相同,但主要是电子邮件通知、请求、提醒、共享文件或与财务相关的邮件。
【图5:使用带有可点击HTML图像的Google AMP网络钓鱼电子邮件示例】
URL重定向:URL重定向已经成为一种越来越流行的反电子邮件分析方法。在单个网络钓鱼攻击链中有多个重定向(而非单个恶意URL)会使分析变得更加困难。图6中的示例取自用户的收件箱,它是在网络钓鱼电子邮件中使用可信域和URL重定向作为TTP的一个完美示例。重定向不仅重定向到Google AMP域,而且还托管在com上,这是另一个受信任的域,为钓鱼活动增加了一层虚假的合法性。
【图6:利用Microsoft域重定向到Google AMP网络钓鱼站点的钓鱼URL】
Cloudflare CAPTCHA:滥用Cloudflare的CAPTCHA服务已经成为一种流行的反分析策略。Cloudflare是一个合法的域名安全服务,用于保护网站免受机器人或其他自动访问者的侵害。这已被证明是规避电子邮件安全的一种非常有效的策略,因为CAPTCHA通常出现在任何实际的恶意URL之前。使用CAPTCHA需要手动用户出现才能到达初始重定向或感染链中的最终恶意URL。Cloudflare服务还允许通过IP过滤阻止某些地理位置,IP代理服务允许威胁行为者隐藏域的原始托管提供商。
【图7:从Google AMP网络钓鱼活动中提取的Cloudflare CAPTCHA示例】