首页 > 安全 > 正文

分析使用恶意PDF的网络钓鱼攻击

最后更新 :2022.02.24

网络安全研究人员

Zoziel Pinto Freire 分析了使用武器化的PDF在网络钓鱼攻击中的使用

每天每个人都会收到许多与恶意文档或PDF的网络钓鱼攻击。我决定看看其中一个文件。我做了一个静态分析,我直接到了这一点,使这种阅读简单快速。

这里是收到的电子邮件和nbsp;因为它来自Caixa经济大学联邦银行,但我们可以看到发件人使用Gmail服务和一个奇怪的名字。

phishing PDFs

phishing PDFs

phishing PDFs

phishing PDFs

phishing PDFs

]我使用&nbsp验证了此电子邮件标题;

mxtoolbox
,我们可以看到发件人(攻击者)使用的IP。phishing PDFs

phishing PDFs

以下是攻击者使用的IP的声誉。

phishing PDFs

phishing PDFs
我们可以看到这个IP有很多提升恶意活动。

phishing PDFs
我在我的vps中下载了这个文件(kAli Linux)和使用 peepdf
要对文件结构进行分析,我发现了对象3和5中的2个URI。

在使用&nbsp检查对象3和5后,使用 pdf-parser ,我发现了3中的恶意UR1 我在维生素中检查了该UR1,它具有恶意声誉。 当我在Kali打开了文件,我们可以看到它有一个原始徽标的银行和一个按钮,单击将指示我的URL。 123]当我点击此按钮时,URL HXXP:// cefonlineencaminha [。] z13 [。[] web [。]核心[。] windows重定向到另一个URL ms [。] meuappavisos [。] com [ 总之,为了照顾和关注它是必不可少的要每种细节打开此类电子邮件时,因为您可以将机器放在危险情况下,请将您的数据陷入困境,被攻击等等。 在分析期间使用的工具: Kali Linux  https://www.kali.org/get-kali/ mx toolbox https://mxoolbox.com pdf-parser https://blog.didierstevens.com/programs/pdf-tools/ peepdf https://github.com/jesparza/peepdf 滥用Ipdb https://www.abuseipdb.com 病毒总数和nbsp; https://www.virustotal.com/ 关于作者:Zoziel Pinto Freire ] 网络安全专家|法医专家|威胁狩猎|blueteam |Redteam |浦丝特|评估

- END -

看更多