[[419952]]

據(jù)國(guó)外媒體報(bào)道，一個(gè)網(wǎng)絡(luò)釣魚(yú)活動(dòng)利用UPS官網(wǎng)的一個(gè)XSS漏洞來(lái)推送偽裝成發(fā)票文檔的惡意軟件文件，攻擊者假冒UPS發(fā)送釣魚(yú)郵件，聲稱包裹出現(xiàn)異常，需要用戶自取，同時(shí)提供了一個(gè)指向UPS官網(wǎng)的鏈接，極具欺騙性。

這次網(wǎng)絡(luò)釣魚(yú)攻擊值得關(guān)注的一點(diǎn)是，攻擊者利用UPS.com中的XSS漏洞將站點(diǎn)的常規(guī)頁(yè)面修改為合法的下載頁(yè)面。此漏洞允許威脅行為者通過(guò)遠(yuǎn)程Cloudflare worker分發(fā)惡意文檔，但使其看起來(lái)像是直接從UPS.com下載的。

釣魚(yú)郵件提供了許多沒(méi)有惡意行為的合法鏈接，但包含一個(gè)XSS漏洞利用的鏈接，該漏洞在打開(kāi)頁(yè)面時(shí)將惡意JavaScript注入瀏覽器(下圖)：

這個(gè)網(wǎng)絡(luò)釣魚(yú)活動(dòng)的手段非常高明，因?yàn)樵L問(wèn)URL的用戶會(huì)看到一個(gè)合法的ups.com URL，提示下載發(fā)票。這種策略可能會(huì)導(dǎo)致即使是經(jīng)驗(yàn)豐富的受害者也會(huì)毫不猶豫地打開(kāi)發(fā)票鏈接，進(jìn)而下載惡意文件。據(jù)了解，該惡意文件名為“invoice_1Z7301XR1412220178”，是偽裝成UPS的運(yùn)輸發(fā)票。

當(dāng)用戶打開(kāi)這個(gè)惡意文檔時(shí)，所有文本都將無(wú)法讀取，并且文檔會(huì)提示用戶“啟用內(nèi)容”以正確查看它。

啟用后，宏將嘗試下載文件https://divine-bar-3d75.visual-candy.workers.dev/blackhole.png。但是，此URL不再有效，因此無(wú)法查看有效負(fù)載。

參考資料：

https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-upscom-xss-vuln-to-distribute-malware/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文