freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

对仿冒美国Chase银行钓鱼网站的分析
2021-09-21 16:21:15

网站分析

2021 年 3 月,研究人员发现了仿冒美国银行 Chase 钓鱼页面的 URL 和一批与之相似的页面。钓鱼网站使用 JQuery 和 Ajax 窃取凭据和信用卡信息。

左侧是钓鱼网站,右侧是合法网站。钓鱼网站使用了几乎完全相同的样式、登录表单、配色方案、背景图像等。

除了 URL 不同,两个页面看起来非常相似,钓鱼网站很难引起怀疑。

仍然可以通过该网站使用与 Chase 银行相同的图标和页面标题进行检测。而且,攻击者的表单是通过 HTTP 传输的,但 Chase 服务是使用 HTTPS 的。通过 HTTP 协议传输表单数据是钓鱼网站的一个特征。

查看行为树可以查看更深入的通信行为:

浏览器下载了五个 JavaScript 文件,四个似乎与 JQuery 有关,最后一个名为 MyBabyTwo.js 则很普通。

该文件被混淆了,三个数组中包含页面属性、关键字和变量等。脚本不直接使用这些元素,而是调用查找函数在运行时进行解析,这样隐藏了实际功能也为分析处理增加了难度。

左侧代码负责窃取表单的凭据,右侧代码调用 binlist.net的服务验证信用卡号的正确性。

结论

尽管脚本进行了混淆处理,但检测到伪装成 Chase 银行的钓鱼网站仍不算困难。

IOC

http://chase.th.patricepurnell.com
http://chase.th.patricepurnell.com/img/alert.gif
http://chase.th.patricepurnell.com/css/lostyle.css
http://chase.th.patricepurnell.com/img/loading.gif
http://chase.th.patricepurnell.com/img/congra.png
http://chase.th.patricepurnell.com/js/jquery.CardValidator.js
http://chase.th.patricepurnell.com/js/jquery.validate.min.js
http://chase.th.patricepurnell.com/js/jquery.min.js
http://chase.th.patricepurnell.com/js/MyBabyTwo.js
http://chase.th.patricepurnell.com/img/desktopnight.jpeg
http://chase.th.patricepurnell.com/img/emdef213.png
http://chase.th.patricepurnell.com/img/logo.svg
http://chase.th.patricepurnell.com/css/style.css
http://chase.th.patricepurnell.com/fonts/opensans-regular.ttf
http://chase.th.patricepurnell.com/img/lawla.png
http://chase.th.patricepurnell.com/fonts/dcefont.woff
http://chase.th.patricepurnell.com/img/cardsimg.png
http://chase.th.patricepurnell.com/img/icon.ico

参考来源

VMray

# 钓鱼网站 # 银行钓鱼 # Chase
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录