Microsoft用戶受到了成千上萬的網(wǎng)絡(luò)釣魚電子郵件的攻擊，這是一次持續(xù)不選的攻擊，目的是竊取用戶的Office 365憑據(jù)。攻擊者利用一個虛假的Google reCAPTCHA系統(tǒng)和包含受害者公司logo的頂級域名登錄頁面，增加了偽造系統(tǒng)的合法性。

[[390032]]

據(jù)研究人員稱，在過去三個月中，至少有2500封此類電子郵件發(fā)送給銀行和IT部門的高層員工，但均未成功。電子郵件首先會將收件人帶到偽造的Google reCAPTCHA系統(tǒng)頁面。 Google reCAPTCHA是一項(xiàng)可通過使用圖靈測試來區(qū)分人類和機(jī)器人的服務(wù)(例如，通過要求用戶點(diǎn)擊一系列圖像中的消火栓)，從而幫助保護(hù)網(wǎng)站免受垃圾郵件和濫用的侵害。

一旦受害者“通過”了reCAPTCHA測試，他們就會被重定向到網(wǎng)絡(luò)釣魚登陸頁面，該頁面要求他們提供Office 365憑據(jù)。

Zscaler的ThreatLabZ安全研究小組的研究人員在周五表示：“此次攻擊以針對具有副總裁和常務(wù)董事等頭銜的企業(yè)高級領(lǐng)導(dǎo)人而著名，這些人他們可能會更頻繁地訪問敏感的公司數(shù)據(jù)。” “這些活動的目的是竊取這些受害者的登錄憑據(jù)，以使威脅行為者能夠訪問公司的重要資產(chǎn)。”

假冒網(wǎng)絡(luò)釣魚電子郵件：語音郵件附件

網(wǎng)絡(luò)釣魚電子郵件偽裝成來自受害人統(tǒng)一通信工具的自動電子郵件，該工具說他們具有語音郵件附件。例如，一封電子郵件告訴用戶“(503)***-6719在1月20日給您留下了35秒長的消息”，以及一個名為“ vmail-219.HTM”的單獨(dú)附件。另一個告訴電子郵件告訴收件人“復(fù)查安全文件”。

當(dāng)受害者單擊附件時，他們會遇到偽造的Google reCAPTCHA頁面，其中包含一個典型的reCAPTCHA框——用戶必須點(diǎn)擊一個復(fù)選框，上面寫著“我不是機(jī)器人”，然后觸發(fā)圖靈測試。

填寫了偽造的reCAPTCHA系統(tǒng)后，受害者會被引導(dǎo)到一個似乎是Microsoft登錄頁面的地方。登錄頁面還包含與受害者工作的公司不同的logo，例如，一個包含軟件公司ScienceLogic的logo，另一個包含辦公室租賃公司BizSpace的logo。這表明攻擊者已經(jīng)完成了功課，并正在自定義網(wǎng)絡(luò)釣魚登陸頁面以適合受害者的個人資料，以使攻擊看起來更加合法。

受害者被要求將其登錄憑據(jù)輸入系統(tǒng);一旦他們輸入了，就會有一條消息告訴他們驗(yàn)證“成功”，并且他們將被重定向。

[[390033]]

研究人員說：“在提供登錄憑據(jù)后，網(wǎng)絡(luò)釣魚活動將顯示一條虛假消息，上面寫著‘驗(yàn)證成功’”。 “然后，向用戶展示一段他們可以播放的語音郵件消息的錄音，從而使威脅行為者避免懷疑。”

研究人員發(fā)現(xiàn)了與該活動相關(guān)的各種網(wǎng)絡(luò)釣魚頁面，這些頁面是使用通用頂級域名(例如.xyz，.club和.online)托管的。這些頂級域通常被網(wǎng)絡(luò)犯罪分子利用來進(jìn)行垃圾郵件和網(wǎng)絡(luò)釣魚攻擊。這是因?yàn)樗鼈兠總€的購買價格不到1美元，相當(dāng)于以非常低廉的價格增加了網(wǎng)絡(luò)釣魚活動中的可信度。

更多假冒Google reCAPTCHA的網(wǎng)絡(luò)釣魚攻擊

攻擊者多年來一直在利用偽造的reCAPTCHA系統(tǒng)進(jìn)行攻擊。例如，在2019年，一場針對波蘭銀行及其用戶的惡意軟件活動利用包含惡意PHP文件鏈接的電子郵件，最終將BankBot惡意軟件下載到受害者的系統(tǒng)上。攻擊者使用了偽造的Google reCAPTCHA系統(tǒng)，以使其看起來更加真實(shí)。

二月份的另一起網(wǎng)絡(luò)釣魚攻擊據(jù)稱來自語音郵件服務(wù)，其中包含播放語音消息“ Play Audi Date.wav”的鏈接，最終通過reCAPTCHA消息將受害者重定向到惡意站點(diǎn)。

上面的兩個例子都表明reCAPTCHA繼續(xù)被用于網(wǎng)絡(luò)釣魚攻擊，因?yàn)檫@種策略成功地為攻擊增加了合法性：“類似的利用假谷歌reCAPTCHA的網(wǎng)絡(luò)釣魚活動我們已經(jīng)觀察了好幾年，但這項(xiàng)針對特定行業(yè)高管的專項(xiàng)活動始于2020年12月。”

在過去的幾個月中，Microsoft Office 365用戶面臨著數(shù)種復(fù)雜的網(wǎng)絡(luò)釣魚攻擊和詐騙。今年10月份，研究人員警告說，網(wǎng)絡(luò)釣魚活動偽裝成來自Microsoft Teams的自動消息。實(shí)際上，該攻擊旨在竊取Office 365收件人的登錄憑據(jù)。同樣在10月，Office365憑據(jù)網(wǎng)絡(luò)釣魚攻擊將目標(biāo)鎖定在酒店行業(yè)，使用視覺驗(yàn)證碼來避免檢測，并增加了其合法。網(wǎng)絡(luò)釣魚攻擊者還采用了谷歌翻譯(Google Translate)或自定義字體等新策略，使詐騙看起來更合法。

本文翻譯自：https://threatpost.com/google-recaptcha-phishing-office-365/164566/#modal_newsletter