電子郵件安全和威脅檢測服務(wù)提供商 Vade 公司近日發(fā)布了一份報告�,詳細(xì)闡述了最近發(fā)現(xiàn)的一起網(wǎng)絡(luò)釣魚攻擊,這起攻擊成功欺騙了 Microsoft 365 身份驗(yàn)證系統(tǒng)����。
據(jù) Vade 的威脅情報和響應(yīng)中心(TIRC)聲稱,攻擊電子郵件含有一個帶有 java script 代碼的有害 HTML 附件����。這段代碼的目的在于收集收件人的電子郵件地址,并使用來自回調(diào)函數(shù)變量的數(shù)據(jù)篡改頁面��。
TIRC 的研究人員在分析一個惡意域名時解碼了使用 base64 編碼的字符串��,獲得了與 Microsoft 365 網(wǎng)絡(luò)釣魚攻擊相關(guān)的結(jié)果。研究人員特別指出�,對網(wǎng)絡(luò)釣魚應(yīng)用程序的請求是向 eevilcorponline 發(fā)出的。
研究人員通過 periodic-checkerglitchme 發(fā)現(xiàn)�,其源代碼與附件的 HTML 文件很相似,這表明網(wǎng)絡(luò)釣魚者在利用 glitch.me 來托管惡意的 HTML 頁面�。
glitch.me 是一個允許用戶創(chuàng)建和托管 Web 應(yīng)用程序、網(wǎng)站和各種在線項(xiàng)目的平臺����。遺憾的是��,在這種情況下�,該平臺卻被人利用,用于托管涉及這起進(jìn)行中的 Microsoft 365 網(wǎng)絡(luò)釣魚騙局的域名��。
當(dāng)受害者收到一封含有惡意 HTML 文件(作為附件)的電子郵件時�����,攻擊就開始了�。受害者打開該文件后,一個偽裝成 Microsoft 365 的網(wǎng)絡(luò)釣魚頁面就會在受害者的互聯(lián)網(wǎng)瀏覽器中啟動��。在這個欺騙性頁面上�,攻擊者提示受害者輸入其憑據(jù)���,攻擊者會迅速收集這些憑據(jù)用于惡意目的。
由于 Microsoft 365 在商業(yè)界得到廣泛采用��,被泄露的賬戶很有可能屬于企業(yè)用戶����。因此,如果攻擊者獲得了對這些憑據(jù)的訪問權(quán)���,他們就有可能獲得敏感的商業(yè)和交易信息����。
此外據(jù)報告顯示���,Vade 的研究人員還發(fā)現(xiàn)了一種涉及使用被欺騙的 Adobe 版本的網(wǎng)絡(luò)釣魚攻擊���。
————————————————
原文作者:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
轉(zhuǎn)自鏈接:https://www.wangan.com/p/11v781b3d354da1a
版權(quán)聲明:著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)�����,非商業(yè)轉(zhuǎn)載請保留以上作者信息和原文鏈接。
進(jìn)一步分析后發(fā)現(xiàn)�,惡意的 “eevilcorp” 域名返回了一個與 Hawkeye 應(yīng)用程序相關(guān)的身份驗(yàn)證頁面。值得一提的是���,包括 Talos 在內(nèi)的網(wǎng)絡(luò)安全專家曾對最初的 HawkEye 鍵盤記錄器進(jìn)行了分析��,將其歸類為 2013 年出現(xiàn)的惡意軟件套件�����,隨后出現(xiàn)了后續(xù)版本�。
這一發(fā)現(xiàn)很重要����,因?yàn)檫@解釋了為什么 TIRC 的研究人員無法將身份驗(yàn)證頁面與 HawkEye 鍵盤記錄器直接聯(lián)系起來�����。
發(fā)現(xiàn)的攻陷指標(biāo)(IoC)如下:
periodic-checkerglitchme
scan-verifiedglitchme
transfer-withglitchme
air-droppedglitchme
precise-shareglitchme
monthly-payment-invoiceglitchme
monthly-report-checkglitchme
eevilcorponline
ultimotemporeonline
這起攻擊之所以引人注目����,是由于它利用了惡意域名(eevilcorponline)和 HawkEye。作為一種鍵盤記錄器和數(shù)據(jù)竊取工具��,HawkEye 可以在黑客論壇上買到。雖然 Vade 的調(diào)查仍在進(jìn)行中���,但是用戶有必要保持警惕����,并遵循以下這些措施����,以防止淪為 Microsoft 365 網(wǎng)絡(luò)釣魚騙局的受害者:
仔細(xì)核對電子郵件發(fā)件人:小心那些聲稱由 Microsoft 365 發(fā)來、實(shí)際上由可疑或不熟悉的電子郵件地址發(fā)來的電子郵件����。驗(yàn)證發(fā)件人的郵件地址,以確保它與微軟官方域名匹配�����。
留意一般的問候語:網(wǎng)絡(luò)釣魚電子郵件常常使用一般的問候語���,比如 “親愛的用戶”���,而不是直接稱呼你的姓名。正規(guī)的微軟電子郵件通常用你的姓名或用戶名來稱呼你��。
分析電子郵件內(nèi)容和格式:注意拼寫和語法錯誤以及糟糕的格式。網(wǎng)絡(luò)釣魚電子郵件常常含有微軟的正規(guī)郵件不會含有的錯誤�。
將鼠標(biāo)懸停在鏈接上方:在點(diǎn)擊電子郵件中的任何鏈接之前,將鼠標(biāo)懸停在鏈接上方�,以查看實(shí)際的 URL。如果鏈接的目的地看起來可疑或與微軟官方域名不同��,請不要點(diǎn)擊它��。
警惕緊急請求:網(wǎng)絡(luò)釣魚電子郵件常常給人一種緊迫感�,迫使你立即采取行動。小心那些聲稱你的 Microsoft 365 賬戶存在風(fēng)險或要求緊急驗(yàn)證個人信息的電子郵件�����。
切記��,如果你懷疑一封電子郵件是網(wǎng)絡(luò)釣魚騙局��,最好謹(jǐn)慎行事��。向微軟報告任何可疑的電子郵件���,并避免提供個人或敏感信息,除非你可以通過官方渠道核實(shí)請求的合法性�����。
————————————————
原文作者:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
轉(zhuǎn)自鏈接:https://www.wangan.com/p/11v781b3d354da1a
版權(quán)聲明:著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)����,非商業(yè)轉(zhuǎn)載請保留以上作者信息和原文鏈接。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
