Soula利用水坑攻击技术攻击韩国

研究人员发现了一项网络钓鱼活动，该活动通过注入家的登录表单来窃取用户凭据，至少四个韩国网站受到影响，其中还包括韩国访问量最大的网站。

虽然网络犯罪分子在网站上注入恶意JavaScript代码来利用浏览器漏洞或加载财务信息撇取器的情况时有发生，但这一次网络犯罪分子使用了水坑网络钓鱼活动的技术，这就很不寻常了。这次活动被研究人员称之为“Soula”，通过在原始网页上弹出韩国最流行的搜索引擎来收集受害者登录凭据。即使没有确认准确数据，它也会将收集到的数据发送到攻击者的服务器，这让研究人员认为网络犯罪分子还处于研究和信息收集阶段。

1.攻击流程

Soula攻击流程

研究人员追踪了3月14日在受感染网站上完成的初始JavaScript注入。注入的脚本会记录网站的访问者并在主页面上加载网络钓鱼表单，还会扫描HTTP referer标头字符串并检查其是否包含与热门搜索引擎和社交媒体网站相关的关键字，以验证访问者是否是真实用户。由于HTTP referer将源网页地址标识为所请求页面，所以如果请求来自同一个，则可以更容易地将访问者标识为真实用户、过滤掉bot爬虫或威胁扫描程序。

然后，该脚本扫描用于iPhone、iPad、iPod、iOS和Android等字符串的HTTP User-Agent标头，以识别用户用作桌面或其移动设备型号，从而向受害者提供相应的网络钓鱼表单。移动用户只有在点击受感染网站上的任意按钮后才会看到伪造的登录页面。为了掩盖恶意进程，它只会在在受害者第六次访问网站后弹出窗口，因为设置cookie来计算访问次数，但cookie也会在上次弹出后两小时后过期。

用于检查HTTP Referer和HTTP User-Agent的注入脚本

如果设备没有列出任何字符串，Soula会假定用户正在使用台式计算机访问该网站。用户会直接在受感染的网页上看到虚假的登录页面，要求输入用户名和密码再继续访问该网站。用户信息直接发送到攻击者的服务器。为了规避检测，网络钓鱼脚本将浏览器cookie设置为接收网络钓鱼表单的设备，使得虚假登录在初始交互12小时后到期。

研究人员还发现注释设置为简体中文，并使用Cloudflare保护其域并隐藏其真实IP地址。研究人员在发现此攻击后与Cloudflare取得了联系，但是当Cloudflare将恶意域名从其服务中删除时，该活动仍在继续。攻击者对注入受感染网站的JavaScript代码进行了混淆，并将脚本和网络钓鱼页面移至受感染的Web服务器，以避免检测并阻止其域名被删除。

简体中文注释

原始脚本与混淆之后的脚本

2.结论

考虑到其中一个被攻击的网站是韩国访问量最大的网站之一，而且作为可信赖网站的搜索引擎为其客户提供各种服务，所以Soula对企业和个人而言都是十分严重的威胁。此外，它的搜索和连接的内容字符串可能表明网络犯罪分子计划将其发展为可能影响全球更多人的大型攻击活动。

虽然与社交工程网络钓鱼攻击相比，这种技术更难以追踪，但终端用户仍然可以通过启用允许检测、扫描和阻止恶意URL和弹出窗口的多层防御系统来保护自己。用户还应尽可能启用其他身份验证措施，例如2FA。建议安全管理员在合法供应商提供补丁后立即下载更新，并启用内容安全策略以防止未经授权的访问以及对远程注入脚本使用漏洞。