[[378111]]

Check Point Research與來自網(wǎng)絡安全公司Otorio的專家針對數(shù)千個全球組織的大規(guī)模網(wǎng)絡釣魚活動進行了詳細的調(diào)查，并分析了調(diào)查的詳細信息。

該活動自8月以來一直處于活躍狀態(tài)，攻擊者使用偽裝成Xerox掃描通知的電子郵件，敦促收件人打開惡意HTML附件。這一操作使攻擊者可以繞過Microsoft Office 365高級威脅防護(ATP)過濾，并成功地收集到了超過一千條Office 365企業(yè)賬號的登錄憑證。

專家注意到，網(wǎng)絡釣魚活動背后的網(wǎng)絡犯罪分子主要針對能源和建筑公司，但他們不小心暴露了在攻擊中被盜的憑證，這些攻擊可通過簡單的Google搜索進行訪問。

針對建筑和能源行業(yè)的網(wǎng)絡釣魚活動的攻擊者暴露了在攻擊中被盜的用戶密碼憑證，這些憑證可以通過簡單的Google搜索公開訪問。

“有趣的是，網(wǎng)絡釣魚攻擊者將他們竊取到的信息存儲在了一個專門為這一次網(wǎng)絡釣魚活動而注冊的域名之中，但由于其攻擊鏈中的一個簡單錯誤，他們將這些數(shù)據(jù)存儲在了一個公開可見可訪問的文件之中，并且還被谷歌搜索引擎收錄并建立了索引。通過簡單的Google搜索，任何人都可以找到一個被盜的電子郵件地址的密碼：這是給每一個機會主義攻擊者的禮物。” Check Point發(fā)布的帖子中這樣寫道。

一旦受害者雙擊HTML文件，瀏覽器中就會打開一個模糊的圖像，其中包含一封預先配置好的電子郵件。

啟動HTML文件后，將在后臺執(zhí)行JavaScript代碼，它將收集密碼，將數(shù)據(jù)發(fā)送到攻擊者的服務器，然后將用戶重定向到合法的Office 365登錄頁面來分散用戶的注意力。

網(wǎng)絡釣魚者使用了獨特的基礎結構和受損的WordPress網(wǎng)站來存儲被盜的數(shù)據(jù)。

“我們發(fā)現(xiàn)攻擊者還入侵了幾臺合法的WordPress服務器以托管惡意PHP頁面(名為“ go.php”，“ post.php”，“ gate.php”，“ rent.php”或“ rest.php”)，并處理了所有傳入的網(wǎng)絡釣魚攻擊受害者的憑證。” 帖子繼續(xù)寫道。

“由于現(xiàn)有網(wǎng)站的知名度太高，攻擊者通常更喜歡選擇去入侵這些網(wǎng)站服務器來實施網(wǎng)絡釣魚攻擊，而不太會選擇使用自己搭建的基礎設施。知名度越高，則電子郵件不會被安全廠商阻止的可能性就越大。”

電子郵件是從托管在Microsoft Azure上的Linux服務器發(fā)送的，他們通常使用PHP Mailer 6.1.5，并通過1&1電子郵件服務器進行發(fā)送。

攻擊者還通過受感染的電子郵件帳戶發(fā)送了垃圾郵件，以使這些郵件似乎來自合法來源。

發(fā)送到放置區(qū)服務器的數(shù)據(jù)被保存在Google可以索引的公開可見文件中。這意味著只要進行簡單的Google搜索，任何人都可以訪問它們。

對大約500個被盜憑證的子集進行的分析顯示，受害者來自各種目標行業(yè)，包括IT、醫(yī)療保健、房地產(chǎn)和制造業(yè)。

Check Point與Google分享了調(diào)查結果。

專家注意到，此活動中使用的JavaScript編碼與2020年5月以后的另一個網(wǎng)絡釣魚活動中使用的編碼相同，這種情況表明兩個活動的幕后攻擊者可能是同一組織。

該報告還包括妥協(xié)的指標(IoC)。

本文翻譯自：https://securityaffairs.co/wordpress/113705/hacking/phishing-stolen-pwd-google-search.html如若轉載，請注明原文地址。