Microsoft 365 Defender 威胁情报团队就此主题进行了开发,并在一篇详细的博客文章中解释了这些攻击是如何进行的。
攻击者将这些链接与社会工程诱饵相结合,这些诱饵冒充众所周知的生产力工具和服务来引诱用户点击。这样做会导致一系列重定向——包括一个 CAPTCHA 验证页面,它增加了合法性并试图逃避一些自动分析系统——然后将用户带到一个虚假的登录页面。这最终会导致凭据泄露,从而使用户及其组织面临其他攻击。
为了成功将潜在受害者引导至网络钓鱼站点,邮件中嵌入的重定向 URL 是使用合法服务设置的。
事实上,链接中包含的最终参与者控制的域利用了顶级域 .xyz、.club、.shop 和 .online,但它们作为参数传递,以便绕过电子邮件网关解决方案。
微软表示,作为这次黑客活动的一部分,它发现了至少 350 个独特的网络钓鱼域。
黑客拥有的最有效的工具是令人信服的社会工程诱饵,这些诱饵声称是来自 Office 365 和 Zoom 等应用程序的通知消息、精心设计的检测规避技术以及执行攻击的耐用基础设施。
为了进一步增强攻击的可信度,点击特制链接会将用户重定向到恶意登录页面,该页面使用谷歌 reCAPTCHA 来阻止任何动态扫描尝试。
完成 CAPTCHA 验证后,受害者会看到一个欺诈性登录页面,模仿 Microsoft Office 365 等已知服务,仅在提交信息时刷密码。
如果受害者输入密码,则页面会刷新并显示一条错误消息,声明会话已超时并指示访问者再次输入密码。
这是一种数据验证做法,与电子邮件营销列表服务使用的双重选择加入仪式不同,以确保遵守垃圾邮件法律。
网络钓鱼受害者被重定向到合法的 Sophos 安全网站,错误地表明他们被通知检索的电子邮件已被释放。
现在我们意识到了危险,我们可以继续并立即采取适当的行动,降低成为这场网络战争中另一个统计数字的风险。