微軟365賬戶遭釣魚軟件竊取數據，其中高管成主要目標

據觀察，EvilProxy向100多個組織發送了120000封釣魚電子郵件，以竊取微軟365賬戶。Proofpoint注意到，在過去五個月里，云賬戶泄露激增，令人擔憂。大多數襲擊的目標是高級管理人員。這場運動的目標是全球100多個組織，共影響150萬員工。

   大約39%的受害者是C級高管，其中17%是首席財務官，9%是總裁和首席執行官。Proofpoint發布的帖子中寫道：“黑客利用了EvilProxy，這是一種基于反向代理架構的網絡釣魚工具，黑客可以竊取受MFA保護的憑據和會話cookie。”這種日益嚴重的威脅將復雜的中間對手網絡釣魚與先進的賬戶接管方法相結合，以組織越來越多地采用多因素身份驗證。

   研究人員觀察到，在擁有MFA保護的租戶中，賬戶接管顯著增加，在過去一年中，至少35%的受損用戶啟用了MFA。大規模的黑客依賴于品牌模仿、規避技術和多步驟感染鏈。

   ReSecurity研究人員于2022年9月發現了EvilProxy，它與幾位著名的地下行為者開發的網絡釣魚工具包有一定聯系，他們以前曾針對金融機構和電子商務部門。

    EvilProxy使用反向代理和Cookie注入方法繞過2FA身份驗證——代理受害者的會話。此前，此類方法已在APT和網絡間諜組織的有針對性的活動中出現，然而，現在這些方法已在EvilProxy中成功生產，這突出了針對在線服務和MFA授權機制的攻擊增長的重要性。

   該活動中使用的攻擊鏈始于從偽造的電子郵件地址發送的網絡釣魚電子郵件。黑客模擬已知的可信服務，如Concur、DocuSign和Adobe。網絡釣魚郵件包含指向惡意Microsoft 365網絡釣魚網站的鏈接。點擊嵌入鏈接后，收件人會通過YouTube或SlickDeals進行開放重定向，然后進行一系列重定向以避免被發現。

   最終，用戶流量會被引導到EvilProxy網絡釣魚框架。登錄頁起到反向代理的作用，模仿收件人品牌，并試圖處理第三方身份提供商。如果需要，這些頁面可能會請求MFA憑據，以便于代表受害者進行真實、成功的身份驗證，從而驗證收集到的憑據是否合法。

   研究人員注意到，襲擊的流量取決于受害者的地理位置。來自土耳其IP地址的用戶流量被引導到合法網頁，這種情況表明，這場運動背后的黑客總部似乎設在土耳其。

   報告最后總結道：“黑客不斷尋求新的方法來竊取用戶的憑據并訪問有價值的用戶帳戶。他們的方法和技術不斷適應新的安全產品和方法，如多因素身份驗證。即使是MFA也不是應對復雜威脅的靈丹妙藥，可以通過各種形式的電子郵件繞過MFA攻擊。”