Dropbox 云存储平台正被用于在新颖的网络钓鱼

Darktrace 的最新研究显示，一场新颖的网络钓鱼活动利用了合法的 Dropbox 基础设施，并成功绕过了多重身份验证 (MFA) 协议。此次攻击凸显了越来越多的人利用合法的流行服务来诱骗目标下载恶意软件并泄露登录凭据。调查结果还表明，攻击者如何变得善于规避标准安全协议，包括电子邮件检测工具和 MFA。Darktrace 威胁研究主管 Hanah Darley在接受Infosecurity采访时指出，虽然攻击者通过模仿用户收到的正常电子邮件来利用用户对特定服务的信任是很常见的，但在这种情况下，威胁行为者更进一步，他们利用合法的 Dropbox 云存储平台进行网络钓鱼攻击。

攻击者于 2024 年 1 月 25 日以 Darktrace 客户为目标，该组织 SaaS 环境中的 16 名内部用户收到了来自“no-reply@dropbox[.]com”的电子邮件，包含一个可疑的链接，指向以前在客户环境中从未见过的域，名为“mmv-security[.]top”。研究人员指出，恶意或良性电子邮件与 Dropbox 等合法服务使用的自动电子邮件“几乎无法区分”。

1 月 31 日，Darktrace 观察到来自多个以前从未访问过该帐户的异常位置的多次可疑 SaaS 登录。随后 2 月 1 日的异常登录与 ExpressVPN 相关，表明威胁行为者使用虚拟专用网络 (VPN) 来掩盖其真实位置。这些登录似乎使用了有效的 MFA 令牌，这表明攻击者已成功绕过组织的 MFA 策略。研究人员认为，一旦员工泄露了凭证，他们可能在不知不觉中批准了 MFA 身份验证请求，在自己的设备上进行身份验证。

MFA 绕过后不久，Darktrace 观察到使用 HideMyAss VPN 服务再次异常登录 SaaS 帐户。这次，威胁参与者在受感染的 Outlook 帐户上创建了一条新的电子邮件规则，旨在立即将组织帐户团队中的任何电子邮件直接移至“对话历史记录”邮箱文件夹。研究人员表示，这种方法旨在通过将恶意电子邮件和对其的任何回复移动到不常访问的邮箱文件夹来避免检测。此外，该演员还发送了主题为“合同不正确”和“需要紧急审查”等主题的后续电子邮件。研究人员指出：“这可能表明威胁行为者使用受感染的帐户向组织的帐户团队发送更多恶意电子邮件，以便感染客户 SaaS 环境中的其他帐户。”

（来源：安全客 - 有思想的安全新媒体）