假冒财务部门，针对中国用户的二维码钓鱼

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

基础安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

假冒财务部门，针对中国用户的二维码钓鱼

Avenger 2023-02-01 15:44:31 396683

所属地北京

研究人员近日发现了一个利用二维码针对中国用户进行钓鱼，攻击者旨在窃取受害者的凭据。

钓鱼邮件

钓鱼邮件相当简单，带有一个 Word 附件。

image.png-253kB 电子邮件

钓鱼邮件假冒财务部门的名义，发布提醒用户申请劳动补贴的通知。邮件的主题名为关于2022年个人劳动补贴申领通知，正文中也要求用户点击附件查看具体信息。

打开附件可以在文档中看到一些文本描述与二维码：

image.png-711.8kB 文档内容

二维码

大多数移动设备上都能够识别二维码，各种软件都可以处理：

image.png-142.3kB 带有国徽图标的二维码

image.png-150.7kB 带有微信图标的二维码

Word 文件中的二维码会引导用户访问攻击者部署的钓鱼网站。

钓鱼网站

钓鱼网站仿冒钉钉（企业通信平台），窃取相关凭据。由于钉钉在中国的流行程度，其凭据价值相当大。

image.png-153.1kB 钓鱼网站

用户被引导看到一个弹出消息框，提醒其钉钉账户存在违规行为，如果 24 小时内不验证就会自动冻结。用户点击确认后，就会请用户输入凭据进行验证。

image.png-143.3kB 输入凭据

结论

凭据是攻击者入侵的直接方式，为攻击者提供了宝贵的资源。攻击者会尽最大可能确保骗局逼真，提供足够有说服力或者引诱力的诱饵来使受害者放松警惕。

IOC

939656a000b7ca2f54bc42d635537261ce5194e2041f1c3ac37e3c72f8ec5333
f941b76a33b5a1d425569a0ed689023597fd7fc3acb301ec11a37feb71dcb597
ac5f4ba15e883813b3018614887b8f65b2f90d252ab7cdffe6f05f8482e1672a
hXXp://w.mryrej.cn
hXXps://l99etsen5677cryptorgacme.h7g33.cn
hXXp://www.sgiabuq189qhijl.cn