一种名为“伟大”的新型网络钓鱼即服务已经为附属机构提供了一个附件和链接生成器,以制作令人信服的微软365诱饵和登录页面,使其非常适合目标商业用户。
思科Talos的研究人员在5月10日的博客中指出,至少从2022年中期开始,就已经观察到一些使用该服务的网络钓鱼活动,其中12月和3月的活动达到峰值。这些攻击活动主要针对美国、英国、南非和加拿大的制造业、医疗保健和科技公司,其中超过50%的目标位于美国。
研究人员Tiago Pereira写道:“附属机构必须部署和配置提供的带有API密钥的网络钓鱼工具包,即使是不熟练的威胁行为者也可以轻松利用该服务的更高级功能。”网络钓鱼工具包和API作为微软365认证系统的代理,执行'中间人'攻击并窃取受害者的认证凭据或cookie。”
Pererira解释说,网络钓鱼即服务包含一个网络钓鱼工具包(其中包含管理面板),服务API和电报机器人或电子邮件地址。
Pererira继续说,当受害者收到一封带有HTML文件附件的恶意电子邮件时,攻击就开始了。打开附件会在web浏览器中运行一段模糊的JavaScript代码,其中包含一个模糊的图像,显示一个旋转的轮子,假装正在加载文档。
一种新的网络钓鱼即服务攻击的受害者看到了一个模糊的文件诱饵附件。(图片来自Cisco Talos)
然后,受害者被重定向到Microsoft 365登录页面,该页面通常预先填充了他们的电子邮件地址以及他们公司使用的自定义背景和徽标。一旦受害者输入他们的密码,网络钓鱼服务连接到微软365,并冒充受害者试图登录。网络钓鱼即服务甚至会提示受害者通过真正的Microsoft 365页面(例如SMS代码或推送通知)验证多因素身份验证请求。
PaaS套件在本地存储凭据,以便可以通过管理面板访问它们,并将它们发送到附属公司的Telegram频道(如果配置为这样做的话)。
正如Pererira所写的那样:“网络钓鱼工具包和API一起工作,执行'中间人'攻击,从受害者那里请求信息,然后API将实时提交给合法登录页面。”由于身份验证会话在一段时间后会超时,Telegram bot会尽快通知攻击者受害者的身份验证会话cookie已被获取。
362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
