新型手机钓鱼诈骗的警告

关键要点

• 一种新的手机钓鱼诈骗被发现，使用前所未见的伪装方法，通过 PDF 文件隐藏链接到伪造的美国邮政服务（USPS）页面。
• 攻击者通过将钓鱼 PDF 文件作为 SMS 短信发送，诱导用户点击链接。
• 这种诈骗方法利用 PDF 格式的多种对象，隐藏恶意链接，使用户和安全系统都无法察觉。

一项针对移动设备的新型钓鱼诈骗被观察到，利用一种前所未见的混淆方法，在 PDF 文件中隐藏伪造的美国邮政服务（USPS）页面链接，。这种方法操纵了 的元素，使可点击的 URL对用户和移动安全系统都显示为不可见，后者通常会通过搜索 “/URI” 标签从 PDF 中提取链接。

Zimperium 的恶意软件研究员费尔南多·奥尔特加在一篇博客中写道：“我们的研究人员验证了这种方法使已知的恶意 URL能够通过多种端点安全解决方案的检测。相反，当使用标准的 /URI 标签时，同样的 URL 会被检测到。”

该博客解释了 PDF 文件由不同的“对象”构成，如字符串、数组、字典和流，这些对象为 PDF 查看软件加载和显示内容提供了蓝图。攻击者通过 SMS短信发送恶意 PDF 文件，伪装成提供未送达的 USPS 包裹取件说明。

通常情况下，超链接会通过一个包含 /URI 标签的“Go-To-URI”动作字典对象显示在 PDF 文件中。然而，在这场通过 SMS进行的钓鱼活动中，链接作为压缩流项嵌入，提供 PDF 查看器渲染可点击文本的指令。

这些指令不仅绕过了显眼的 Go-To-URI动作，还通过设置字体颜色与背景颜色相同，以及将文本移动到与外部对象（XObject）加载的图像相同的位置，从而隐藏了可疑的 URL。

连结也通过使用引用自定义表格的字体对象进一步混淆，该表格将字符 ID 映射到与其正常对应的不同 Unicode 值。由于流对象指示 PDF查看器使用该字体对象渲染 URL 文本，因此文本作为一串 Unicode 字符加载，看起来与实际链接的 URL 不同。

用户在看到的并不是可点击的文本 URL，而是被渲染成一个“点击更新”按钮的 XObject图像。尝试点击该按钮将点击到隐藏在下面的链接，直接将用户引导至伪造的 USPS 网站。

首先会显示一个表单，要求受害者提供其邮寄地址、电子邮件地址和电话号码，然后请求提供信用卡信息，以支付 $0.30 的“服务费”，用于重新投递所称的包裹。提供的信息通过 Rabbit 流密码进行加密，并传输到攻击者的指挥控制服务器。

Zimperium 识别出了超过 20 个版本的恶意 PDF 文件和 630 个与该骗局操作相关的钓鱼页面。这些钓鱼页面还支持 50种语言，暗示可能针对国际用户并可能使用钓鱼工具包。

Zimperium 指出，用户对 PDF 文件格式的信任以及移动用户在打开文件前对信息了解的有限能力，增加了此类钓鱼活动的风险。

SlashNext Email Security+ 的现场首席技术官史蒂芬·考斯基在给 SC Media的电子邮件中表示：“虽然组织拥有强大的电子邮件安全性，但财务、人力资源和技术团队在移动设备上的关键紧张关系造成了保护的显著和危险的差距，导致对网络和移动消息安全的投入不足，尽管这些渠道已成为主要的攻击矢量。组织必须扩展其安全策略，超越电子邮件，包含对移动消息和基于网络的消息威胁的全面保护。”