2020年近一半的釣魚攻擊都在使用微軟相關(guān)的服務(wù)來竊取用戶的憑證，包括Office 365企業(yè)服務(wù)系列和其它Teams協(xié)作平臺(tái)。

Cofense在周二的報(bào)告中分析了數(shù)百萬封進(jìn)行網(wǎng)絡(luò)攻擊的電子郵件，發(fā)現(xiàn)其中57%是釣魚郵件，其目的在于竊取受害者的用戶名和密碼。其余的惡意郵件則是用來進(jìn)行商業(yè)郵件泄露(BEC)攻擊或傳播惡意軟件。

[[388629]]

研究人員表示，在這些釣魚郵件中，45%使用了微軟的相關(guān)服務(wù)來進(jìn)行攻擊。網(wǎng)絡(luò)犯罪分子既使用了微軟的相關(guān)工具來發(fā)送釣魚郵件，又利用了合法的微軟域名來托管釣魚登陸頁面。

Cofense的研究人員告訴Threatpost："隨著遷移到Office 365的公司數(shù)量的增加，竊取這些憑證后可以讓網(wǎng)絡(luò)犯罪分子以合法用戶的身份悄無聲息的進(jìn)入到組織內(nèi)部"。為確保安全，他們強(qiáng)烈建議組織在遷移或使用Office 365的同時(shí)啟用多因素認(rèn)證機(jī)制。

微軟用戶受到釣魚郵件的攻擊

研究人員解釋說，惡意電子郵件使用的誘餌信息各有不同，它可能直接是一句簡單的"'Joe想分享給你你一個(gè)word文檔。" 或者它可能只是一個(gè)簡單的附件文件，其中包含了一個(gè)網(wǎng)站的鏈接，該鏈接要求用戶使用微軟憑證進(jìn)行登錄。

研究發(fā)現(xiàn)，10月份的一次網(wǎng)絡(luò)釣魚活動(dòng)中，攻擊者偽造了一個(gè)來自微軟Teams的自動(dòng)消息，該消息提醒受害者他們錯(cuò)過了一次Teams上的會(huì)議。實(shí)際上，此次攻擊目的是為了竊取Office 365收件人的登錄憑證。

12月的另一次攻擊中使用了URL嵌入技術(shù)，該鏈接會(huì)重定向到一個(gè)假冒的微軟Office 365釣魚頁面。攻擊者還會(huì)偽造eFax等企業(yè)的電子郵件，eFax是一種互聯(lián)網(wǎng)傳真服務(wù)，它允許用戶發(fā)送電子郵件或在線接收傳真。

研究人員說："我們還看到網(wǎng)絡(luò)犯罪分子給用戶提供了從最常用的電子郵件平臺(tái)中選擇平臺(tái)的選項(xiàng)，釣魚郵件中的鏈接通常是托管在合法域名上的URL，這些域名一般有大量的用戶群體，這樣可以避免被內(nèi)容審查規(guī)則和過濾器攔截。"

根據(jù)研究人員的說法，45%的憑證竊取網(wǎng)絡(luò)釣魚攻擊是利用微軟的相關(guān)服務(wù)進(jìn)行的，其他的攻擊方式是通用的，這意味著這些攻擊并沒有利用一個(gè)特定的品牌進(jìn)行電子郵件攻擊或要求收件人登錄相關(guān)頁面進(jìn)行憑證竊取。

除了微軟有用戶值得信賴的協(xié)作服務(wù)，如SharePoint、OneDrive或Office 365等工具，研究人員表示，他們看到了犯罪分子在攻擊中還利用了其他的云服務(wù)商的產(chǎn)品。這其中包括谷歌(如Google Forms)、Adobe的文件共享服務(wù)等。

研究人員告訴Threatpost："我們觀察到要求受害者提供憑證的一般是各種云托管服務(wù)，如Adobe，Dropbox，Box，DocuSign或WeTransfer，網(wǎng)絡(luò)攻擊者已經(jīng)能夠在互聯(lián)網(wǎng)上搜索到那些和具體業(yè)務(wù)有關(guān)的文件共享網(wǎng)站，這樣就可以順利地繞過安全電子郵件網(wǎng)關(guān)的控制以及網(wǎng)絡(luò)代理過濾器的審查。"

與金融相關(guān)的惡意電子郵件攻擊

研究人員發(fā)現(xiàn)，在被發(fā)現(xiàn)的惡意電子郵件中，有近17%的攻擊與金融交易有關(guān)。

這些釣魚郵件許多都和工作中所涉及到的發(fā)票和交易有關(guān)。例如，最近的一個(gè)案例就是發(fā)生了這樣的一起網(wǎng)絡(luò)攻擊，這些電子郵件所使用的攻擊主題主要是電子發(fā)票，這些電子郵件發(fā)送到了超過2萬個(gè)郵箱中，郵件內(nèi)容聲稱發(fā)送方要查看電子資金轉(zhuǎn)移(EFT)支付的信息。本月早些時(shí)候發(fā)現(xiàn)的郵件帶有"TRANSFER OF PAYMENT NOTICE FOR INVOICE"的主題，并且還包含了一個(gè)從云端下載 "發(fā)票 "的鏈接。

研究人員表示，這些類型的攻擊之所以有效，是因?yàn)? "財(cái)務(wù)團(tuán)隊(duì)可能有很大的壓力，為保持業(yè)務(wù)的正常運(yùn)行，需要及時(shí)處理發(fā)票和付款的問題，特別是在月末或季末期間，因?yàn)榇藭r(shí)的財(cái)務(wù)報(bào)告很重要。因此，如果用戶沒有收到任何電子郵件回復(fù)，他們很可能還會(huì)主動(dòng)與對方進(jìn)行溝通交流"。

GuLoader惡意軟件的興起

研究人員發(fā)現(xiàn)，在2020年，GuLoader投放器已經(jīng)成為了電子郵件攻擊中最常用的惡意軟件之一。

該惡意軟件首次出現(xiàn)在第一季度，并在2020年第二季度中開始被大量使用，它主要是用于傳播遠(yuǎn)程管理工具、鍵盤記錄器、憑證竊取器和其他惡意軟件。

例如，在6月的一次電子郵件攻擊活動(dòng)中人們發(fā)現(xiàn)，此次郵件攻擊的目標(biāo)是奧地利、德國和瑞士的中層員工，并附帶有惡意的Excel附件。一旦打開并啟用宏，Microsoft Excel附件就會(huì)被下載并執(zhí)行GuLoader，而GuLoader又會(huì)下載并執(zhí)行Hakbit勒索軟件。

由于該軟件可以避開網(wǎng)絡(luò)和電子郵件的安全檢測，它突出的優(yōu)勢使其成為了網(wǎng)絡(luò)犯罪分子進(jìn)行攻擊的工具。例如，研究人員表示，該惡意軟件包含虛假的代碼指令，這樣它就可以繞過分析工具的掃描，同時(shí)還可以避免在虛擬或沙箱環(huán)境中執(zhí)行。惡意軟件背后的攻擊者還將他們的惡意有效載荷存儲(chǔ)在Google Drive或微軟OneDrive等云平臺(tái)上。由于它們是合法服務(wù)，所以不會(huì)被安全軟件攔截。

研究人員說："雖然GuLoader是一個(gè)可執(zhí)行文件，但它通常會(huì)通過惡意的辦公文件來進(jìn)行感染計(jì)算機(jī)，這些文件是為了繞過安全控制，方便直接向受害者的計(jì)算機(jī)系統(tǒng)中下載惡意軟件，由于GuLoader會(huì)不斷的演化出更為復(fù)雜的攻擊技術(shù)，使得該工具在網(wǎng)絡(luò)攻擊方面越來越有用。"

本文翻譯自：https://threatpost.com/microsoft-lures-credential-swiping-phishing-emails/164207/