钓鱼组织伪造 PDF 设局,PayPal、DocuSign、微软遭仿冒
HackerNews 编译,转载请注明出处: 人人都信任PDF——而这正是网络犯罪分子如此痴迷于它们的原因。 便携式文档格式(Portable Document Format),更常被称为PDF,每天被分发数百万次。从税务文件、简历到发票、数字手册或任何其他信息,都通过电子邮件以PDF附件的形式发送。 PDF简单、跨平台且普遍受信任。它们可以包含图像、可点击链接和看似官方的标识。这使它们成为攻击者想要混入其中的完美载体,也正是黑客们当前痴迷于它们的原因。 过去几个月,网络安全分析师观察到通过PDF文件发起的钓鱼攻击急剧增加。这些PDF被设计成模仿科技巨头和服务提供商的合法通信,以诱骗受害者泄露凭证或下载恶意软件。 根据思科Talos的洞察,在2025年5月5日至6月5日期间,使用PDF附件进行品牌冒充的行为激增。被冒充最多的品牌是微软(Microsoft)和DocuSign。而NortonLifeLock、PayPal和Geek Squad则属于包含PDF附件的电话导向攻击(TOAD)邮件中最常被冒充的品牌之列。 这些钓鱼活动是全球性的,许多源自美国和欧洲的IP地址。 攻击者如何利用PDF? 最近的一次攻击冒充了微软,使用了诸如“薪资调整”之类的诱饵主题行,时间点特意选在各组织可能发生晋升或绩效变动的时期。 该PDF看起来像一份标准的人力资源文件,足以让受害者相信并扫描其中的二维码,该二维码会将他们重定向到一个窃取凭证的网站。Dropbox也常被用作分发恶意PDF的平台。 然后是电话导向攻击(TOAD)。这些钓鱼PDF的目的不是让受害者简单地点击链接——而是通过电话对他们进行钓鱼。骗子通常会发送关于账单错误、可疑活动或订阅续费的信息,并包含一个“客服”电话号码。 这些邮件诈骗中使用的大多数电话号码是网络电话(VoIP)号码,追踪到真实个人或物理位置的难度远高于普通固话。 骗子还滥用Adobe电子签名服务等合法平台。2025年4月至5月期间,Talos发现了通过Adobe系统发送的PDF,冒充PayPal等品牌。 PDF也是二维码钓鱼的绝佳载体,而二维码钓鱼当下正大行其道。这些二维码通常冒充微软或Adobe等公司。 此外,还有一种危险策略是滥用PDF文件中的注释功能。PDF可以在评论、便签或表单域等地方隐藏链接。所有这些区域都会被许多扫描器忽略。 攻击者还会在文件中填充无关文本来混淆检测引擎。在某些情况下,他们会嵌入两个URL:一个看起来是干净的(用于建立信任),另一个隐藏的URL则会将你带到真正的钓鱼页面。 消息来源: Cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
漏洞聚焦:Moxa EDR-810 工业安全路由器存在多个严重漏洞
思科 Talos 的安全研究专家发现工业路由器 Moxa EDR-810 中存在 17 个安全漏洞,其中包括许多影响 Web 服务器功能的严重命令注入漏洞和导致服务器崩溃的拒绝服务 (DOS )漏洞。目前发现的漏洞已在 Moxa EDR-810 V4.1 build 17030317 中得到确认,但其早期版本的产品也可能受到了影响。 (CVE-2017-12120)Moxa EDR-810 Web 服务器 ping 命令注入漏洞 CVE-2017-12120 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。攻击者可以将操作系统命令注入到 “/ goform / net_WebPingGetValue”uri 中的 ifs = parm 中,以触发此漏洞并控制目标设备。 (CVE-2017-12121)Moxa EDR-810 Web RSA 密钥生成命令注入漏洞 该漏洞与 CVE-2017-12120 类似,也允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。 (CVE-2017-14435至14437)Moxa EDR-810 Web 服务器 strcmp 多个拒绝服务漏洞 CVE-2017-14435 至 14437 描述了 Moxa EDR-810 的 Web 服务器功能中存在的三种单独的可利用的拒绝服务漏洞。通过利用特制的 HTTP URI 造成空指针取消引用,从而导致拒绝服务。攻击者可以发送 GET 请求到“/MOXA_LOG.ini,/MOXA_CFG.ini或/MOXA_CFG2.ini”,而不是使用 cookie 头来触发此漏洞。 (CVE-2017-12123)Moxa EDR-810 明文传输密码漏洞 CVE-2017-12123 是一种可利用的明文传输密码漏洞,它存在于 Moxa EDR-810 的 web 服务器和 telnet 功能中。攻击者可以检查网络流量以检索设备的管理密码,然后,使用凭据登录设备 web 管理控制台作为设备管理员。 (CVE-2017-12124)Moxa EDR-810 Web 服务器 URI 拒绝服务漏洞 CVE-2017-12124 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的拒绝服务漏洞。访问特制的 HTTP URI 会造成空指针取消引用,从而导致 Web 服务器崩溃。攻击者可以发送制作的 URI 来触发此漏洞。 (CVE-2017-12125)Moxa EDR-810 Web 服务器证书签名请求命令注入漏洞 CVE-2017-12125 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上获得 root shell 。攻击者可以将 OS 命令注入“/ goform / net_WebCSRGen”uri 中的 CN = parm 以触发此漏洞。 (CVE-2017-12126)Moxa EDR-810 Web 服务器跨站点请求伪造漏洞 CVE-2017-12126 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的跨站点请求伪造(CSRF)漏洞。利用特制的 HTTP 请求可能会触发 CSFR 漏洞,从而允许攻击者更改设备配置。攻击者可以创建恶意 HTML 代码来触发此漏洞,并诱使用户执行恶意代码。 (CVE-2017-12127)Moxa EDR-810 明文密码存储漏洞 CVE-2017-12127 是 Moxa EDR-810 的操作系统功能中存在的密码存储漏洞。设备以明文形式将凭据存储在 /magicP/cfg4.0/cfg_file/USER_ACCOUNT.CFG 中。该文件镜像 / etc / shadow 的内容,但所有密码均以明文形式存储。 (CVE-2017-12128)Moxa EDR-810 服务器代理信息泄露漏洞 CVE-2017-12128 是 Moxa EDR-810 的服务器代理功能中存在的可利用信息泄露漏洞。攻击者可以通过发送特制的 TCP 数据包来触发此漏洞,从而导致设备泄漏数据。 (CVE-2017-12129)Moxa EDR-810 Web 服务器对密码漏洞进行弱加密 CVE-2017-12129 是 Moxa EDR-810 的 Web 服务器功能中存在的可用于密码漏洞的弱加密技术。初次登录后,每个经过身份验证的请求都会发送一个带有密码 MD5 散列的 HTTP 数据包,这个散列能够被破解,显示设备的密码。 (CVE-2017-14432 至 14434)Moxa EDR-810 Web 服务器 OpenVPN 配置多个命令注入漏洞 CVE-2017-14432 至 14434 描述了 Moxa EDR-810 的 Web 服务器功能中存在的多个可利用的命令注入漏洞。一个特制的 HTTP POST 请求可能会导致特权升级,从而导致攻击者有权访问 root shell。攻击者可以将 OS 命令注入到“/ goform / net_Web_get_value”uri 中的各种参数中以触发此漏洞。 (CVE-2017-14438和14439)Moxa EDR-810 服务代理多次拒绝服务 CVE-2017-14438 和 14439 描述了 Moxa EDR-810 的 Service Agent 功能中存在的两个可利用的拒绝服务漏洞,通过利用一个特制的数据包可能会导致拒绝服务。攻击者可以发送一个大数据包到 tcp 端口 4000 或 4001 来触发此漏洞。 消息来源:Talos,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。