最近，一種利用谷歌加速移動(dòng)頁面（AMP）的新型網(wǎng)絡(luò)釣魚策略已經(jīng)進(jìn)入威脅領(lǐng)域，并被證明在達(dá)到預(yù)定目標(biāo)方面非常成功。谷歌AMP是由谷歌和30個(gè)合作伙伴共同開發(fā)的一個(gè)開源的HTML框架，旨在加快網(wǎng)頁內(nèi)容在移動(dòng)設(shè)備上的加載速度。

反釣魚保護(hù)公司Confense分析發(fā)現(xiàn)，這些活動(dòng)所涉的網(wǎng)站托管在Google.com或Google.co. uk上，這兩個(gè)都被大多數(shù)用戶認(rèn)為是可信的域。這種網(wǎng)絡(luò)釣魚活動(dòng)不僅使用Google AMP URL來規(guī)避檢測(cè)，而且還結(jié)合了其他許多已知可以成功繞過電子郵件安全基礎(chǔ)設(shè)施的戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。

要點(diǎn)

• 威脅行為者采用的一種新策略是利用谷歌AMP URL作為嵌入其網(wǎng)絡(luò)釣魚電子郵件中的鏈接。這些鏈接托管在受信任的域中，并且已被證明能夠成功地到達(dá)企業(yè)級(jí)員工。
• 網(wǎng)絡(luò)釣魚中使用的谷歌AMP URL于2023年5月開始出現(xiàn)，且目前仍在繼續(xù)傳播，目標(biāo)是員工的登錄憑據(jù)。
• 使用這種策略的攻擊活動(dòng)已被證明是非常成功的，并且正在使用其他已知能夠繞過電子郵件安全基礎(chǔ)設(shè)施的TTP。Cofense觀察到以下策略被納入使用Google AMP URL的活動(dòng)：
• 可信域經(jīng)常在網(wǎng)絡(luò)釣魚活動(dòng)的每個(gè)階段使用，而不僅僅包括最初的Google域。
• AMP URL會(huì)觸發(fā)重定向到惡意釣魚網(wǎng)站，這個(gè)步驟還額外增加了一個(gè)干擾分析的層。
• 已經(jīng)使用了基于圖像的網(wǎng)絡(luò)釣魚郵件。這使得攻擊者可以通過使用包含惡意嵌入鏈接的編碼HTML圖像替換正常的文本主體來破壞分析。
• Cloudflare的CAPTCHA服務(wù)在網(wǎng)絡(luò)釣魚活動(dòng)中一直是一種常用的濫用策略，因此它們出現(xiàn)在這里也就不足為奇了。CAPTCHA服務(wù)破壞了自動(dòng)分析，并要求對(duì)每個(gè)網(wǎng)絡(luò)釣魚活動(dòng)進(jìn)行手動(dòng)分析。

谷歌AMP：被濫用作網(wǎng)絡(luò)釣魚的合法應(yīng)用程序

Google AMP是一個(gè)Web組件框架，允許用戶創(chuàng)建針對(duì)移動(dòng)設(shè)備進(jìn)行優(yōu)化的網(wǎng)頁。谷歌允許每個(gè)網(wǎng)頁在谷歌搜索中可見，并可以使用谷歌AMP緩存和谷歌分析，這兩種工具都為用戶提供了額外的功能來跟蹤其他用戶在AMP頁面上的互動(dòng)。Google AMP提供的另一個(gè)特性是，網(wǎng)頁最初托管在Google AMP URL上，如圖1中的示例所示。這意味著每個(gè)URL都托管在https://www.google.com/amp/s/或https://www.google.co.uk/amp/s/上。在下面的示例中，URL的左半部分是合法的Google AMP路徑，右半部分是Google AMP用戶設(shè)置的網(wǎng)頁。要訪問該URL，用戶可以直接訪問網(wǎng)頁鏈接，也可以通過該URL的擴(kuò)展版本訪問網(wǎng)頁鏈接。

【圖1：Google AMP URL示例】

谷歌AMP吸引合法用戶的功能也可能吸引試圖出于惡意目的而使用它的威脅行為者。網(wǎng)絡(luò)釣魚威脅行為者已經(jīng)在其網(wǎng)絡(luò)釣魚郵件中使用Google AMP URL路徑來托管惡意網(wǎng)頁，以試圖竊取電子郵件登錄憑據(jù)。對(duì)于電子郵件安全基礎(chǔ)設(shè)施來說，通常很難檢測(cè)到這種電子郵件的惡意屬性，因?yàn)檫@些URL托管在合法的Google域上。Google分析的加入還為威脅行為者提供了一種跟蹤其網(wǎng)絡(luò)釣魚頁面內(nèi)用戶交互的方法。圖2顯示了一個(gè)使用Google AMP托管的網(wǎng)絡(luò)釣魚URL的真實(shí)示例。Google AMP URL的行為非常類似于重定向，將用戶從初始URL重定向到路徑中找到的URL——在本例中，即托管在域netbitsfibra[.]com上的URL。

【圖2：到達(dá)預(yù)期目標(biāo)的真實(shí)Google AMP網(wǎng)絡(luò)釣魚示例】

監(jiān)控?cái)?shù)據(jù)

在監(jiān)控網(wǎng)絡(luò)釣魚活動(dòng)時(shí)，重要的是要關(guān)注那些重要的活動(dòng)。在到達(dá)預(yù)定目標(biāo)之前被阻止的網(wǎng)絡(luò)釣魚URL不會(huì)構(gòu)成威脅。在這次活動(dòng)中，Google AMP URL被證明非常成功地接觸到了受安全電子郵件網(wǎng)關(guān)（SEG）保護(hù)的用戶。圖3顯示了Cofense每周在預(yù)期目標(biāo)收件箱中觀察到的包含Google AMP鏈接的網(wǎng)絡(luò)釣魚電子郵件的數(shù)量。由于各種原因，這些電子郵件已被證明能夠成功地到達(dá)他們的預(yù)期目標(biāo)，其主要目的是竊取員工的電子郵件登錄憑據(jù)。

【圖3：每周濫用Google AMP的網(wǎng)絡(luò)釣魚郵件數(shù)量】

濫用谷歌AMP服務(wù)的網(wǎng)絡(luò)釣魚活動(dòng)在5月份開始出現(xiàn)，此后一直沒有消失?？偟膩碚f，交易量在最近幾周急劇波動(dòng)，5月29日和7月10日這一周，這種策略達(dá)到了新的高度。在6月15日，研究人員發(fā)現(xiàn)策略上發(fā)生了一些變化，包括在Google AMP URL中使用Google.co.uk。雖然整體策略保持不變，但新的URL托管在谷歌的英國(guó)頂級(jí)域名上。

Cofense數(shù)據(jù)顯示，在觀察到的所有Google AMP URL中，大約77%托管在域名google.com上，23%托管在域名Google .co.uk上。URL路徑是這種網(wǎng)絡(luò)釣魚活動(dòng)的一個(gè)很好的指標(biāo)，但由于合法使用，很難完全阻止“google.com/amp/s/”。建議組織在完全阻止用戶之前，討論此路徑的合法用途。盡管阻塞路徑可能很困難，但這可能是用它標(biāo)記URL的好機(jī)會(huì)。

【圖4：使用Google AMP的網(wǎng)絡(luò)釣魚郵件所用域名的比較結(jié)果】

威脅行為者將最新戰(zhàn)術(shù)與其他可行TTP結(jié)合起來

事實(shí)證明，谷歌AMP網(wǎng)絡(luò)釣魚活動(dòng)的成功率極高。這可能得益于每個(gè)URL所托管的Google域的可信狀態(tài)和合法性。雖然這個(gè)理由可能是充分的，但使用這種新策略的威脅行為者也結(jié)合了其他已知的可靠方法，以進(jìn)一步規(guī)避網(wǎng)絡(luò)釣魚電子郵件檢測(cè)。研究人員在使用Google AMP URL作為網(wǎng)絡(luò)釣魚郵件內(nèi)嵌入鏈接的各種網(wǎng)絡(luò)釣魚郵件中，觀察到以下TTP：

• 可信域：Google AMP策略是有效的，因?yàn)樗Y(jié)合了在可信域中托管URL和從Google AMP URL到網(wǎng)絡(luò)釣魚站點(diǎn)的重定向過程。可信域使自動(dòng)分析變得困難，因?yàn)橛脩舨荒芎?jiǎn)單地直接阻止惡意URL的合法部分。
• 基于圖像的網(wǎng)絡(luò)釣魚電子郵件：研究人員觀察到的一些電子郵件是基于圖像的網(wǎng)絡(luò)釣魚電子郵件。這意味著電子郵件不包含傳統(tǒng)的電子郵件正文，而是包含HTML圖像。與基于文本的電子郵件相比，這種性質(zhì)的電子郵件更難檢測(cè)。這是由于圖像在電子郵件的標(biāo)題中增加了更多的噪音，可以混淆掃描電子郵件文本的安全解決方案。圖5所示的是在使用Google AMP URL的用戶收件箱中發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚電子郵件。整個(gè)圖像是可點(diǎn)擊的，并引導(dǎo)用戶進(jìn)入網(wǎng)絡(luò)釣魚攻擊的下一步。這些電子郵件背后的誘餌各不相同，但主要是電子郵件通知、請(qǐng)求、提醒、共享文件或與財(cái)務(wù)相關(guān)的郵件。

【圖5：使用帶有可點(diǎn)擊HTML圖像的Google AMP網(wǎng)絡(luò)釣魚電子郵件示例】

• URL重定向：URL重定向已經(jīng)成為一種越來越流行的反電子郵件分析方法。在單個(gè)網(wǎng)絡(luò)釣魚攻擊鏈中有多個(gè)重定向（而非單個(gè)惡意URL）會(huì)使分析變得更加困難。圖6中的示例取自用戶的收件箱，它是在網(wǎng)絡(luò)釣魚電子郵件中使用可信域和URL重定向作為TTP的一個(gè)完美示例。重定向不僅重定向到Google AMP域，而且還托管在com上，這是另一個(gè)受信任的域，為釣魚活動(dòng)增加了一層虛假的合法性。

【圖6：利用Microsoft域重定向到Google AMP網(wǎng)絡(luò)釣魚站點(diǎn)的釣魚URL】

• Cloudflare CAPTCHA：濫用Cloudflare的CAPTCHA服務(wù)已經(jīng)成為一種流行的反分析策略。Cloudflare是一個(gè)合法的域名安全服務(wù)，用于保護(hù)網(wǎng)站免受機(jī)器人或其他自動(dòng)訪問者的侵害。這已被證明是規(guī)避電子郵件安全的一種非常有效的策略，因?yàn)镃APTCHA通常出現(xiàn)在任何實(shí)際的惡意URL之前。使用CAPTCHA需要手動(dòng)用戶出現(xiàn)才能到達(dá)初始重定向或感染鏈中的最終惡意URL。Cloudflare服務(wù)還允許通過IP過濾阻止某些地理位置，IP代理服務(wù)允許威脅行為者隱藏域的原始托管提供商。

【圖7：從Google AMP網(wǎng)絡(luò)釣魚活動(dòng)中提取的Cloudflare CAPTCHA示例】

原文鏈接：https://cofense.com/blog/google-amp-the-newest-of-evasive-phishing-tactic/