新的网络钓鱼攻击欺骗 Microsoft 365 身份验证系统

电子邮件安全和威胁检测服务提供商 Vade 发布了一份关于最近发现的涉及欺骗Microsoft 365身份验证系统的网络钓鱼攻击的报告。

根据 Vade 的威胁情报和响应中心 (TIRC) 的说法，攻击电子邮件包含带有 JavaScript 代码的有害 HTML 附件。

此代码旨在收集收件人的电子邮件地址并使用回调函数变量中的数据修改页面。

TIRC 研究人员在分析恶意域时解码了 Base64 编码的字符串，并获得了与Microsoft 365 网络钓鱼攻击相关的结果。

研究人员指出，网络钓鱼应用程序的请求是向 evilcorponline 提出的。

通过periodic-checkerglitchme 发现的其源代码与附件的HTML 文件类似，表明网络钓鱼者正在利用glitch.me 托管恶意HTML 页面。

Glitch.me 是一个平台，使用户能够创建和托管 Web 应用程序、网站和各种在线项目。

不幸的是，在这种情况下，该平台被利用来托管涉及正在进行的 Microsoft 365 网络钓鱼骗局的域。

当受害者收到一封包含恶意 HTML 文件作为附件的电子邮件时，攻击就开始了。

当受害者打开该文件时，他们的 Web 浏览器中会启动一个伪装成 Microsoft 365 的网络钓鱼页面。

在这个欺骗性页面上，系统会提示受害者输入其凭据，攻击者会立即收集这些凭据用于恶意目的。

由于 Microsoft 365 在商业社区中的广泛采用，受感染的帐户很可能属于企业用户。

因此，如果攻击者获得这些凭据的访问权限，他们就有可能获取敏感的业务和贸易信息。

此外，根据他们的报告，Vade 的研究人员还发现了一次网络钓鱼攻击，其中涉及使用 Adobe 的欺骗版本。

Office 365 和 Adobe 网络钓鱼诈骗的登录页面

进一步分析显示，恶意“eevilcorp”域返回与名为 Hawkeye 的应用程序相关的身份验证页面。

需要强调的是，包括 Talos 在内的网络安全专家已经对原始HawkEye 键盘记录器进行了评估，并将其归类为 2013 年出现的恶意软件工具包，随着时间的推移，后续版本也不断出现。

此上下文是相关的，因为它解释了为什么 TIRC 研究人员无法在身份验证页面和 HawkEye 键盘记录器之间建立直接连接。

攻击的指标被确定为以下几项：

periodic-checker.glitch.me

scan-verified.glitch.me

transfer-with.glitch.me

air-dropped.glitch.me

precise-share.glitch.me

monthly-payment-invoice.glitch.me

monthly-report-check.glitch.me

eevilcorp.online

ultimotempore.online

这种攻击之所以引人注目，是因为利用了恶意域 (eevilcorponline) 和 HawkEye，HawkEye 可在黑客论坛上作为键盘记录器和数据窃取工具购买。

虽然 Vade 的调查仍在进行中，但用户保持警惕并遵循以下步骤以防止成为 Microsoft 365 网络钓鱼诈骗的受害者至关重要：

检查电子邮件发件人：警惕从可疑或陌生的电子邮件地址发送的声称来自 Microsoft 365 的电子邮件。验证发件人的电子邮件地址以确保其与官方 Microsoft 域匹配。

寻找通用问候语：网络钓鱼电子邮件通常使用“尊敬的用户”等通用问候语，而不是直接称呼您的名字。合法的 Microsoft 电子邮件通常通过您的姓名或用户名来称呼您。

分析电子邮件内容和格式：注意拼写和语法错误以及不良格式。网络钓鱼电子邮件通常包含来自 Microsoft 的合法通信不会有的错误。

将鼠标悬停在链接上：单击电子邮件中的任何链接之前，将鼠标光标悬停在链接上以查看实际的 URL。如果链接的目标看起来可疑或与官方 Microsoft 域不同，请勿单击它。

对紧急请求保持谨慎：网络钓鱼电子邮件通常会营造一种紧迫感，迫使您立即采取行动。请谨防声称您的 Microsoft 365 帐户存在风险或需要紧急验证个人信息的电子邮件。

请记住，如果您怀疑某封电子邮件是网络钓鱼诈骗，最好谨慎行事。

向 Microsoft 报告任何可疑电子邮件，并避免提供个人或敏感信息，除非您可以通过官方渠道验证请求的合法性。

原文来源：网络研究院

“投稿联系方式：孙中豪 010-82992251   [email protected]”

原文始发于微信公众号（关键基础设施安全应急响应中心）：新的网络钓鱼攻击欺骗 Microsoft 365 身份验证系统