微软的安全情报研究人员在周二的推文中透露，攻击者在最近的一个网络钓鱼活动中使用伪造的发件人地址并使用微软SharePoint文件作为诱饵进行攻击，其目的是骗取受害者的证书。该攻击活动针对的是使用微软Office 365的机构组织，通过使用SharePoint的文件共享功能进行攻击。研究人员说，该攻击活动伪造了目标用户名的发件人地址，而且还模仿了合法的服务，该攻击活动比往常更狡猾隐蔽，并试图绕过电子邮件过滤器。

研究人员说，攻击者通过发送电子邮件并在信息中使用了Sharepoint文件作为诱饵。目前这次攻击活动使用了各种主题作为诱饵，犯罪分子非常猖狂。

这封电子邮件提醒收件人这里有一个共享文件请求，这个人可能是他们错过的同事，并在文件中包含了一个网络钓鱼页面的链接。研究人员指出，为了使信件显得更加真实可信，据说该文件还包含了某种合法类型的业务内容，如员工报告、奖金或价格清单。

微软表示，如果用户上钩，他或她最终会被引导到一个钓鱼页面，页面要求他们用自己的合法凭证登录Office 365。

鉴于SharePoint协作平台在许多企业和商业客户中被广泛使用，它现在是威胁者的一个热门攻击目标。

Heimdal Security公司的网络安全研究人员Dora Tudor指出，尤其是利用sharepoint的文件共享功能，再加上一点欺骗信息，是现在窃取受害者凭证的一种特别有效的方式。

她在周二的一篇博文中指出："当涉及到电子邮件诈骗时，你可能会认为，如果收到的电子邮件来自一个受信任的实体，你可以相信它是安全的，但不幸的是，电子邮件中存在的任何链接都可能最终使你感染恶意软件。”

可疑的迹象

据微软称，尽管这一最新的攻击活动总体上很有隐蔽性，但有一些迹象表明事情不对劲。

他们在Twitter上指出，原始发件人的地址中使用了 "referral"一词的变体，还使用了各种顶级域名，包括网络钓鱼活动常用的com[.]com域名。

研究人员称，该恶意攻击活动的其他线索是在其使用的URL中发现的，这些URL将潜在的受害者引向网络钓鱼页面然后诱导他们输入凭证。

他们说，攻击者主要使用两个带有畸形HTTP头的URL。主要的钓鱼网址是一个存储在谷歌服务器上的页面，它指向了一个AppSpot域，该域要求用户登录账号，并在另一个谷歌内容域中提供Office 365钓鱼页面。

该活动中使用的第二个URL是在通知设置中发现的。据微软称，这个网址指向一个被攻陷了的SharePoint网站，攻击者使用它可以来增加攻击的合法性。研究人员说，这两个URL都要求潜在的受害者登录到最后的页面。

研究人员在GitHub上提供了一个查询服务，它可以通过Microsoft 365 Defender的运行，来标记来自该攻击活动的任何电子邮件。他们说，这些电子邮件可能已经成功绕过了其他的网络安全工具。

参考及来源：https://threatpost.com/phishing-sharepoint-file-shares/168356/