WMC研究團隊發現,有些Office 365釣魚網站會將網站圖像顏色予以反轉成為負片,產生和原始網站圖片不同的圖像雜湊,雖然能躲過網頁圖像辨識軟體的偵測,但會讓造訪網站的使用者起疑,為此,攻擊者先將色彩反轉的圖片設為背景(圖1),再在網站的index.php程式碼套用CSS(圖2),將圖像色彩改為原本的顏色(圖3)。這樣一來,最後的釣魚網站(圖4)就能騙過使用者的眼睛,又不會被掃瞄引擎偵測出來。(圖片來源/WMC)

惡意攻擊手法愈來愈進步,安全研究人員發現近日一波冒充Office 365的釣魚網站,使用反轉背景圖的色彩的新手法來躲避安全軟體偵測,又能誘騙使用者上門。

安全公司WMC研究團隊指出,新近的網頁圖像辨識軟體愈來愈進步,使網站掃瞄產品的分析也更加精確,然而他們最新發現一種新手法運用在Office 365釣魚網站,可騙過這類掃瞄引擎。方法是將網站圖像的顏色予以反轉(inverse)成為負片,產生和原始網站圖片不同的圖像雜湊。這手法可以影響掃瞄軟體,使它無法將整個圖片標示為惡意圖像。

但是造訪網站的使用者卻能辨識出這種怪異的圖片,並立即離開。為此,攻擊者的做法是先將這色彩反轉的圖片設為背景,再在網站的index.php程式碼套用CSS,將圖像色彩改為原本的顏色。這樣一來,最後的釣魚網站就能騙過使用者的眼睛,又不會被掃瞄引擎偵測出來。

研究人員發現到一個Office 365釣魚攻擊套件使用這種反轉色彩的圖片,也發現這個套件似乎也已賣給了多名買主,並用以進行Office 365釣魚攻擊。

除了反轉圖片色彩外,研究人員指出變更網站logo和圖片也可能騙過掃瞄引擎。他們發現如果這類釣魚網站被限制在沙箱環境開啟,比較可能被圖片掃瞄系統偵測出來。但是缺點是沙箱開啟會使網站花更長時間開啟,而且這段時間內釣魚網站仍然可能傷害到使用者。

由於Office 365用戶眾多,也引發駭客以各種釣魚手法竊取用戶輸入帳號。駭客釣魚信件傳送的假連結包括Microsoft Teams訊息公司VPN配置SharePoint和OneDrive檔案分享連結Azure ID登入頁連結等。

熱門新聞

Advertisement