电子邮件网络钓鱼细节解析之病毒附件钓鱼

一、钓鱼邮件内容

打开百度APP畅享高清图片

二、钓鱼病毒附件

三、病毒附件代码

下面是上述代码中被Base64编码改写的脚本：

四、代码细节解析

1. 页面结构与伪装手段

双重扩展名伪装：文件名为xxx.jpg.html，利用图片扩展名（.jpg）掩盖.html的真实类型，诱导用户误以为是图片文件。

视觉欺骗：

页面模仿登录界面，包含“验证”、“密码”等中文提示，模仿企业邮箱或文档服务（如“电子邮箱超时 登录以查看文档”）。

背景使用模糊效果和渐变阴影，模仿专业服务界面设计。

固定邮箱地址：邮箱输入框（ludi@ps.ac.cn）被禁用，暗示用户需输入密码，针对特定目标（如某机构员工）。

2. 数据收集与传输

服务器端交互：

img变量为Base64编码的URL，解码后为https://africafirstconsultants.com/blog/auth.php，这是攻击者的服务器端点，用于接收被盗的邮箱和密码。

通过AJAX POST请求将数据发送至该地址，参数包括email、password、count（提交次数）和page（固定值sF Al3rt）。

//javascript

data: {

email: email,

password: password,

count: count,

page: page, // 固定值 "SF Al3rt:"（可能用于标记攻击来源）

重定向逻辑：

用户提交密码后，若提交次数≥2次，页面延迟2秒后跳转到邮箱域名（如user@example.com跳转至example.com），掩盖攻击痕迹。

首次提交显示错误提示（如“密码错误”），诱导用户多次尝试。

//javascript

$("#wrong").show().html(" ► ► ► ► ►");

//javascript

window.location.replace("https://" + dominos); // dominos为邮箱域名（如example.com）

3. 代码混淆与反检测

Base64编码：

CSS样式和JavaScript代码通过Base64嵌入，规避基础文本扫描。

中文提示使用Unicode转义字符（如验证对应“验证”），绕过字符过滤。

错误提示使用►（右箭头符号）代替明文错误信息，降低用户警觉性。

依赖jQuery：使用公共CDN引入jQuery库，减少代码体积并增强动态交互能力。

4. 钓鱼邮件特征

附件伪装：

使用双重扩展名（.jpg.html）或.html文件伪装为图片/文档，利用用户对常见文件格式的信任。

邮件正文可能包含“文档过期需重新登录”等紧急话术，诱导用户打开附件。

技术特征：

页面禁用右键菜单、复制操作（通过oncontextmenu事件限制）。

依赖外部服务器接收数据，无需自建基础设施。

五、防御措施建议

用户层面

1. 警惕双重扩展名文件：

检查文件真实类型（如Windows中显示完整扩展名），避免打开.jpg.html、.doc.exe等文件。

通过邮件正文内容判断真实性，避免点击紧急或威胁性提示。

2. 验证页面行为：

提交密码前检查页面URL是否合法（如是否为HTTPS、域名是否匹配服务商）。

注意异常跳转（如多次提交后跳转至非预期域名）。

企业层面

1. 邮件安全防护：

部署高级威胁防护（ATP），检测并拦截含双重扩展名的附件。

使用沙箱技术动态分析附件行为（如检测外部HTTP请求）。

2. 员工安全意识培训：

开展钓鱼邮件模拟演练，强调“不打开不明附件、不提交敏感信息”。

教育员工识别Unicode转义字符、Base64编码等混淆手段。

技术层面

1. 网络流量监控：

拦截向非信任域名（如africafirstconsultants.com）发送敏感数据的请求。

使用WAF（Web应用防火墙）阻断恶意PHP脚本的访问。

2. 终端防护：

启用浏览器安全扩展（如NoScript），阻止动态加载的第三方脚本（如jQuery CDN）。

使用EDR工具监控异常进程（如从HTML文件启动浏览器）。

3. 代码审计与黑名单：

定期更新恶意域名/IP黑名单，封禁已知钓鱼服务器。

对Base64编码内容进行动态解码检测。

六、总结

该钓鱼页面通过双重扩展名伪装、视觉欺骗和代码混淆，诱导用户输入密码并发送至攻击者服务器。攻击链依赖外部服务接收数据，隐蔽性较高。防御需结合邮件安全网关、终端防护和员工培训，形成“技术+意识”双重屏障。企业尤其需警惕针对性的固定邮箱钓鱼攻击，及时更新安全策略以应对此类威胁。

编辑：芦笛（公共互联网反网络钓鱼工作组）