網絡釣魚活動盜取密碼可通過 Google 搜索獲得

Check Point Research與來自網絡安全公司Otorio的專家分享了他們對數千個全球組織的大規模網絡釣魚活動進行調查詳細信息。

該活動自8月以來一直很活躍，攻擊者使用偽裝為Xerox掃描通知的電子郵件，敦促收件人打開惡意HTML附件。此技巧使攻擊者可以繞過Microsoft Office 365高級威脅防護（ATP）過濾，并竊取了上千個公司員工的憑據。

專家注意到，網絡釣魚活動背后的運營商主要針對能源和建筑公司，但他們不小心暴露了在攻擊中被盜的憑據，這些攻擊可通過簡單的Google搜索公開查看。

針對建筑和能源行業的網絡釣魚活動的運營商暴露了在攻擊中被盜的憑據，這些攻擊可以通過簡單的Google搜索公開查看。

“有趣的是，由于其攻擊鏈中的一個簡單漏洞，網絡釣魚活動背后的攻擊者在攻擊者使用的數十個防區服務器中將其竊取的憑據暴露給了公共互聯網。通過簡單的Google搜索，任何人都可以找到一個被盜的電子郵件地址的密碼：這是給每一個攻擊者的禮物。” 閱讀Check Point發布的帖子。

一旦受害者雙擊HTML文件，就會在瀏覽器中打開文檔中帶有預配置電子郵件的模糊圖像。

啟動HTML文件后，將在后臺執行JavaScript代碼，它將收集密碼，將數據發送到攻擊者的服務器，然后將用戶重定向到合法的Office 365登錄頁面。

網絡釣魚者使用了獨特的基礎結構和受損的WordPress網站來存儲被盜的數據。

“我們發現了數十個遭到破壞的WordPress服務器，它們托管了惡意PHP頁面（名為“ go.php”，“ post.php”，“ gate.php”，“ rent.php”或“ rest.php”），并處理了所有傳入的網絡釣魚攻擊受害者的憑據。” 繼續發帖。*

“由于現有網站的知名度，攻擊者通常更喜歡使用受損的服務器而不是其自己的基礎結構。聲譽越被廣泛認可，則安全廠商不會阻止電子郵件的可能性就越大。”

電子郵件是從托管在Microsoft Azure上的Linux服務器發送的，通常是使用PHP Mailer 6.1.5發送的，并使用1＆1電子郵件服務器發送的。

攻擊者還通過受感染的電子郵件帳戶發送了垃圾郵件，以使這些郵件似乎來自合法來源。

發送到放置區服務器的數據被保存在Google可以索引的公開可見文件中。這意味著只要進行簡單的Google搜索，任何人都可以使用它們。

對大約500個被盜憑證的子集進行的分析顯示，受害者屬于各種目標行業，包括IT，醫療保健，房地產和制造業。

Check Point與Google分享了調查結果。

專家注意到，此活動中使用的JavaScript編碼與2020年5月以后的另一個網絡釣魚活動中使用的JavaScript編碼相同，這種情況表明，團體威脅參與者是這兩個活動的背后。

該報告還包括危害指標（IoC）。