主题:钓鱼邮件溯源案例分析系列之“律师函”溯源分析报告,数据来源:《2024年Q1企业邮箱安全性研究报告》
案例概述
邮件主题为《南京华文弘盛文化产业创业投资基金合伙企业(有限合伙)》,邮件正文中存在可点击按钮“律师函”,点击跳转后链接为“hxxps://www.xxx.com/5/”,该链接会自动跳转至“hxxps://www.xxxt.com/2/”自动下载“setup 查看_103762_4001328.exe”。
邮件分析
正文分析
邮 件 正 文 中 的 内 容 主 要 是 诱 导 收 件 人 点 击 下 载 链 接 。 点 击 后 跳 转 链 接 为 :“hxxps://www.xxx.com/2/”目的诱导客户下载执行恶意木马程序。
链接分析
访问链接“hxxps://www.xxx.com/5/”后下载恶意软件”setup 查看_103762_4001328.exe“。
通过沙箱的结果得下载的程序”setup 查看_103762_4001328.exe”主要的行为有,请求恶意软件域名“886.xxx.cn、d.xxx.cn”下载可疑文件、创建可疑进程、探测系统环境。
查通信域名 886.xxx.cn、d.xxx.cn 对应的 whois 注册信息。
网站分析
通过域名”www.xxxt.com”解析出 IP 156.xx.xx.112,此 IP 解析出的域名有 30 个,通过访问域名得知下载后的恶意文件主要有以下 5 种恶意程序,如下表所示:
| 路径 | 主题 | 程序 | HTTP请求地址 | SHA256 |
| Hxxps://www.xxxt.com/1/ | 1 月税务局稽查企业清单 | 点击查询 5147.exe | 文件以无法下载 | |
| Hxxps://www.xxxt.com/2/ | 【2024】国家发放企业出纳财务会计工资调整最新政策 | setup查看_103762_4001328.exe | 886.xxx.cn
d.xxx.cn |
07a2b6b128e1c6a48941084c0b449cec80a85d3d07ff2f71ff8f5a21a07c82dd9f |
| Hxxps://www.xxxt.com/3/ | 【2024】1 月企业稽查处罚名单 | 查询 5147.bat | 91.xx.xx.152、hxxp://xxx.com:80/360dsb.jpg | 295a0d82a5abb45df9d57ba42b607abc2bc08f5aaaad66631f3934a04d6ef492 |
| hxxps://www.xxxt.com/4/ | 公司最新账单 | 1 月税务稽查企业名单.exe | 154.xx.xx.202 | 4db3879821af49a11563ab633af45fca4414842923a0fe125cd638fa45f54f77 |
| hxxps://www.xxxxxx.com/2/ | 【2024】国家发放企业出纳财务会计工资调整最新政策 | setup查看_103762_pc2024.exe、 setup查 看_103762_pf2024.exe | 47.xx.xx.45、hxxp://Base-toolkit.xx.com/backup/c.dat | 167bc4cc9314af05671fae95c45fd7694b21fa6bb256856b4878391c9eedfbf8 |
未标注来源的文章均为原创作品,版权所有,转载请注明出处。非原创文章均已标注来源,如有侵权请告知。
如您喜欢本站,可以收藏加关注(扫码关注右上角微信公众号mailabc)。
