详细内容或原文请订阅后点击阅览
假docusign电子邮件隐藏棘手的网络钓鱼尝试
签署DocuSign文件的邀请通过了神秘的方式,并通过指纹构成了目标。
来源:Malwarebytes Labs 博客在我的每日回合中,我遇到了一种网络钓鱼尝试,该尝试使用了一种并不完全不寻常但聪明的交付方法。最初是一个看似常规的DocuSign通知,变成了涉及WebFlow,Shady Redirect和合法的Google登录页面的多层欺骗。
WebFlow是一个视觉网站构建器,允许设计人员和开发人员创建自定义响应式网站。这是一个无代码解决方案,允许用户直接在浏览器
攻击全部始于声称来自已知联系人的电子邮件,引用了完整的DocuSign文档。
电子邮件通过了SPF,DKIM和DMARC,给它一种错误的合法感。 “查看已完成的文档”的链接导致WebFlow预览URL。设计师可以将这些URL用于原型网站并展示其作品。在这一点上,它开始显得可疑,但并不是明显的恶意。
SPF,DKIM和DMARC但是,预览链接不是DocuSign的标准,应始终引起眉毛。合法的DocuSign请求将指向:
- docusign.comdocusign.netdocusign.eu(适用于欧洲用户)
但是,通过浏览合法的WebFlow域,Phishers确保他们的第一阶段不太可能被阻止。
尽管我总是建议人们不要这样做,但我点击了(在虚拟机上,而不是我的实际计算机)。
WebFlow预览显示了一个模拟DocuSign风格的接口,其中一个按钮:“查看文档”。
“查看文档。”现在越来越多。该按钮链接到尖叫危险信号的域:sjw.ywmzoebuntt.es
sjw.ywmzoebuntt.es
域看起来像是一个随机弦,是网络钓鱼基础架构中的已知策略,可逃避基于声誉的防御。
单击“查看文档”按钮将我带到了这个假验证码上,显然并非旨在阻止任何人继续执行。