新的網絡釣魚攻擊欺騙 Microsoft 365 身份驗證系統

電子郵件安全和威脅檢測服務提供商 Vade 發布了一份關于最近發現的涉及欺騙Microsoft 365身份驗證系統的網絡釣魚攻擊的報告。

根據 Vade 的威脅情報和響應中心 (TIRC) 的說法，攻擊電子郵件包含帶有 JavaScript 代碼的有害 HTML 附件。

此代碼旨在收集收件人的電子郵件地址并使用回調函數變量中的數據修改頁面。

TIRC 研究人員在分析惡意域時解碼了 Base64 編碼的字符串，并獲得了與Microsoft 365 網絡釣魚攻擊相關的結果。

研究人員指出，網絡釣魚應用程序的請求是向 evilcorponline 提出的。

通過periodic-checkerglitchme 發現的其源代碼與附件的HTML 文件類似，表明網絡釣魚者正在利用glitch.me 托管惡意HTML 頁面。

Glitch.me 是一個平臺，使用戶能夠創建和托管 Web 應用程序、網站和各種在線項目。

不幸的是，在這種情況下，該平臺被利用來托管涉及正在進行的 Microsoft 365 網絡釣魚騙局的域。

當受害者收到一封包含惡意 HTML 文件作為附件的電子郵件時，攻擊就開始了。

當受害者打開該文件時，他們的 Web 瀏覽器中會啟動一個偽裝成 Microsoft 365 的網絡釣魚頁面。

在這個欺騙性頁面上，系統會提示受害者輸入其憑據，攻擊者會立即收集這些憑據用于惡意目的。

由于 Microsoft 365 在商業社區中的廣泛采用，受感染的帳戶很可能屬于企業用戶。

因此，如果攻擊者獲得這些憑據的訪問權限，他們就有可能獲取敏感的業務和貿易信息。

此外，根據他們的報告，Vade 的研究人員還發現了一次網絡釣魚攻擊，其中涉及使用 Adobe 的欺騙版本。

Office 365 和 Adobe 網絡釣魚詐騙的登錄頁面

進一步分析顯示，惡意“eevilcorp”域返回與名為 Hawkeye 的應用程序相關的身份驗證頁面。

需要強調的是，包括 Talos 在內的網絡安全專家已經對原始HawkEye 鍵盤記錄器進行了評估，并將其歸類為 2013 年出現的惡意軟件工具包，隨著時間的推移，后續版本也不斷出現。

此上下文是相關的，因為它解釋了為什么 TIRC 研究人員無法在身份驗證頁面和 HawkEye 鍵盤記錄器之間建立直接連接。

攻擊的指標被確定為以下幾項：

periodic-checker.glitch.me

scan-verified.glitch.me

transfer-with.glitch.me

air-dropped.glitch.me

precise-share.glitch.me

monthly-payment-invoice.glitch.me

monthly-report-check.glitch.me

eevilcorp.online

ultimotempore.online

這種攻擊之所以引人注目，是因為利用了惡意域 (eevilcorponline) 和 HawkEye，HawkEye 可在黑客論壇上作為鍵盤記錄器和數據竊取工具購買。

雖然 Vade 的調查仍在進行中，但用戶保持警惕并遵循以下步驟以防止成為 Microsoft 365 網絡釣魚詐騙的受害者至關重要：

檢查電子郵件發件人：警惕從可疑或陌生的電子郵件地址發送的聲稱來自 Microsoft 365 的電子郵件。驗證發件人的電子郵件地址以確保其與官方 Microsoft 域匹配。

尋找通用問候語：網絡釣魚電子郵件通常使用“尊敬的用戶”等通用問候語，而不是直接稱呼您的名字。合法的 Microsoft 電子郵件通常通過您的姓名或用戶名來稱呼您。

分析電子郵件內容和格式：注意拼寫和語法錯誤以及不良格式。網絡釣魚電子郵件通常包含來自 Microsoft 的合法通信不會有的錯誤。

將鼠標懸停在鏈接上：單擊電子郵件中的任何鏈接之前，將鼠標光標懸停在鏈接上以查看實際的 URL。如果鏈接的目標看起來可疑或與官方 Microsoft 域不同，請勿單擊它。

對緊急請求保持謹慎：網絡釣魚電子郵件通常會營造一種緊迫感，迫使您立即采取行動。請謹防聲稱您的 Microsoft 365 帳戶存在風險或需要緊急驗證個人信息的電子郵件。

請記住，如果您懷疑某封電子郵件是網絡釣魚詐騙，最好謹慎行事。

向 Microsoft 報告任何可疑電子郵件，并避免提供個人或敏感信息，除非您可以通過官方渠道驗證請求的合法性。