网站分析
2021 年 3 月,研究人员发现了仿冒美国银行 Chase 钓鱼页面的 URL 和一批与之相似的页面。钓鱼网站使用 JQuery 和 Ajax 窃取凭据和信用卡信息。
左侧是钓鱼网站,右侧是合法网站。钓鱼网站使用了几乎完全相同的样式、登录表单、配色方案、背景图像等。
除了 URL 不同,两个页面看起来非常相似,钓鱼网站很难引起怀疑。
仍然可以通过该网站使用与 Chase 银行相同的图标和页面标题进行检测。而且,攻击者的表单是通过 HTTP 传输的,但 Chase 服务是使用 HTTPS 的。通过 HTTP 协议传输表单数据是钓鱼网站的一个特征。
查看行为树可以查看更深入的通信行为:
浏览器下载了五个 JavaScript 文件,四个似乎与 JQuery 有关,最后一个名为 MyBabyTwo.js 则很普通。
该文件被混淆了,三个数组中包含页面属性、关键字和变量等。脚本不直接使用这些元素,而是调用查找函数在运行时进行解析,这样隐藏了实际功能也为分析处理增加了难度。
左侧代码负责窃取表单的凭据,右侧代码调用 binlist.net
的服务验证信用卡号的正确性。
结论
尽管脚本进行了混淆处理,但检测到伪装成 Chase 银行的钓鱼网站仍不算困难。
IOC
http://chase.th.patricepurnell.com
http://chase.th.patricepurnell.com/img/alert.gif
http://chase.th.patricepurnell.com/css/lostyle.css
http://chase.th.patricepurnell.com/img/loading.gif
http://chase.th.patricepurnell.com/img/congra.png
http://chase.th.patricepurnell.com/js/jquery.CardValidator.js
http://chase.th.patricepurnell.com/js/jquery.validate.min.js
http://chase.th.patricepurnell.com/js/jquery.min.js
http://chase.th.patricepurnell.com/js/MyBabyTwo.js
http://chase.th.patricepurnell.com/img/desktopnight.jpeg
http://chase.th.patricepurnell.com/img/emdef213.png
http://chase.th.patricepurnell.com/img/logo.svg
http://chase.th.patricepurnell.com/css/style.css
http://chase.th.patricepurnell.com/fonts/opensans-regular.ttf
http://chase.th.patricepurnell.com/img/lawla.png
http://chase.th.patricepurnell.com/fonts/dcefont.woff
http://chase.th.patricepurnell.com/img/cardsimg.png
http://chase.th.patricepurnell.com/img/icon.ico