近期发现,黑产广泛利用企业免费邮箱进行团伙作案。企业免费邮箱应用比较广的有网易、腾讯等厂商。
网易免费企业邮只要用户拥有域名,就能够创建以用户域名作为邮箱后缀的邮箱,即创建形式为“个性帐号@企业域名”或“个性帐号@个人域名”的邮箱。默认可创建200个,包含邮件列表数量在内,例如可创建180个成员帐号和20个邮件列表。腾讯免费企业邮箱功能大同小异,最多支持创建50个账户,同时成员还可以进行共享文件等操作。
无疑免费企业邮箱能吸引很多小企业,方便成员交流。各邮件服务厂商也开始把企业邮箱作为下一步业务增长点。
然而,黑产也盯上了这一进行小团队管理与交流的好工具。在分析一个安卓木马程序后,获得了其回传数据的邮箱、密码,后缀为jc68.com,分析应该是腾讯企业免费邮箱,进入后发现受害人的通讯录和邮箱信息,从内容分析是典型的拦截马。
腾讯企业邮箱还具备企业地址本功能,能够看到所有团队成员的信息:
同时能从企业网盘文档中发现黑产团队分享木马的记录:
经测试发现,所有成员邮件使用统一密码。
一共50个成员邮箱,都是用来进行拦截马信息回传的。
同时还发现管理员发出的邮件,各种行话。
通过企业免费邮箱,黑产团伙的严密组织充分得到了体现。安全从业者应该充分警惕并进行有效拦截。
PS:巧合的是,今晚得知一位德高望重的专家中马,分析后发现,回传邮箱正是上述团伙所有,可见其木马传播的广泛。