携带钓鱼链接的伪造传票邮(URLPhish)
近期,安全团队捕获到一类新的伪造51某票的钓鱼邮件,内容上为伪造的律师事务所传票信息,并诱导收件人点击钓鱼链接。代表样本如下:
结合情报分析,该域名下存在过恶意压缩文件,木马家族为FlyStudio,猜测该攻击团队也是通过携带恶意压缩附件的形式开展钓鱼活动。
目前启发式规则库已支持对该类邮件的检测。
✅ 类型2:推销广告类邮件(Spam)
这类邮件多以代开发票、银行贷款、租赁店铺等为由,留下联系方式。通常是大批量群发,抢占邮箱配额空间,98%以上的用户都将此类邮件标记为垃圾邮件。部分样本如下:
这类样本属于天空卫士邮件安全团队长期关注、捕获的样本集,启发式规则库自2021年4月份就已支持检测该类型的样本,并且处于持续优化中。
✅ 类型3:木马附件(Trojan)
(1)员工涨薪
警惕这类恶意邮件,内容上为员工涨薪相关信息,并且携带压缩文件,内含恶意PE文件。代表样本如下:
附件内容如下:
(2)通知提醒
还有部分木马附件样本,内容上为付款相关确认文件信息,并且携带压缩文件,内含恶意PE文件。代表样本如下:
附件内容检测结果如下:
目前启发式规则库已支持对该类邮件的检测,配合沙箱联动处理能达到预期拦截效果。
防护建议
✅ 1.警惕携带压缩附件的邮件,如果是陌生发件人,一律不要点击。
✅ 2.部署邮件网关类安全防护产品。
Domain
https[:][/][/]app51fapiao.cn:8888http[:][/][/]laobaole[.]cnIP
216.83.46.195
Hash
ad0d632eee381739880d136c625a0ed0589c9c745d9d75a968f3b5531086e19d3a266bdbedde3a4652387352f3776ca9c408197b0aec41ee8f241a97edf4ac263d2ceaaa66a142c37a35b5b0d611217198660675ba7764ea3615f2ee7396843a501d3cf45b2e5f286dd21e02529da71fa686ade8238453e5ba7af9ff7d6ab558
PDB路径F:\NMC\CURRENT260dailyBuild14596_finalTry2\Libraries\WzAddrBook\w64prod\WzCABCacheSyncHelper64.pdb
供稿团队:
天空卫士安全响应中心邮件安全小组