當?shù)貢r間9月8日，英國傳奇女王伊麗莎白二世在蘇格蘭巴爾莫勒爾城堡去世，享年96歲。2015年，她成為歷史上在位時間最長的英國君主，打破了她的曾曾祖母維多利亞女王創(chuàng)下的紀錄。

各國政府紛紛對此表示哀悼，女王的葬禮后續(xù)事宜也在按照以往的規(guī)格和節(jié)奏有序進行。9月15日，英國倫敦深夜舉行女王伊麗莎白二世葬禮彩排，并將于19日為女王舉行隆重的國葬儀式。

假借悼念之名，行網(wǎng)絡(luò)攻擊之實

就在大家哀悼女王之際，Proofpoint安全研究人員卻發(fā)現(xiàn)，毫無底線的攻擊者假借悼念之名，行網(wǎng)絡(luò)攻擊之實，以“女王去世”、“哀悼女王”等為誘餌的網(wǎng)絡(luò)釣魚攻擊呈現(xiàn)持續(xù)上升的趨勢，其目的是從受害者那里竊取 Microsoft 帳戶和密碼。

攻擊者實施網(wǎng)絡(luò)釣魚攻擊的具體做法是，向用戶發(fā)送一封帶有惡意鏈接的電子郵件，內(nèi)容如下圖所示：

郵件以 Microsoft團隊的名義發(fā)出，大意是微軟現(xiàn)正在推出一款名為“伊麗莎白將記憶板”的產(chǎn)品，以此緬懷這位傳奇女王。在這里將匯聚來自全球的各種悼念信息，包括單詞、郵件、相片等。如果用戶也想?yún)⑴c悼念活動，點擊鏈接登錄微軟賬戶即可。

很明顯，這是一個虛假惡意的釣魚鏈接，重定向的域名并沒有讓用戶提交悼念文本，而是忽悠受害者先輸入其微軟賬號的登錄面、以及多因素身份驗證（MFA）等私密信息。一旦這些敏感的信息被攻擊者獲取，勢必會對用戶帶來嚴重的影響，甚至是以用戶之名進行二次網(wǎng)絡(luò)釣魚攻擊。

EvilProxy一鍵反向代理

值得注意的是，在此次網(wǎng)絡(luò)釣魚攻擊中，安全研究人員觀察到不少攻擊者正在使用EvilProxy一鍵反向代理和Cookie 注入，以此繞過2FA 身份驗證。關(guān)于EvilProxy反向代理服務(wù)的具體內(nèi)容，F(xiàn)reeBuf在 （EvilProxy文章） 進行了說明。

事實上，安全研究人員并非首次觀察到此類攻擊方式，在以往的APT和針對性間諜活動中也曾多次出現(xiàn)。而隨著EvilProxy將這類功能逐漸產(chǎn)品化，那么未來針對在線服務(wù)和MFA授權(quán)機制的攻擊將會迎來較高的增長。

EvilProxy首次出現(xiàn)在安全人員的視野是在2022年5月上旬，當時其背后的攻擊組織發(fā)布了一段演示視頻，詳細介紹了該工具是如何提供高級網(wǎng)絡(luò)釣魚攻擊服務(wù)，并聲稱可竊取身份驗證令牌以繞過 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。

其原理較為簡單，攻擊將受害者引導至網(wǎng)絡(luò)釣魚頁面，使用反向代理獲取用戶期望的所有合法內(nèi)容，包括登錄頁面——當流量通過代理時，它會進行嗅探。通過這種方式，攻擊者可以獲取有效的會話 cookie 并繞過用戶名、密碼、2FA令牌進行身份驗證等操作，從而實現(xiàn)訪問目標賬戶。

EvilProxy服務(wù)承諾竊取用戶名、密碼和會話cookie，費用為150美元（10天）、250美元（20 天）或400美元（30天）。而針對Google帳戶攻擊的使用費用更高，為 250/450/600 美元。Resecurity還在社交平臺上演示了，EvilProxy是如何針對Google帳戶發(fā)起網(wǎng)絡(luò)釣魚攻擊。

參考來源：https://securityaffairs.co/wordpress/135764/cyber-crime/queen-elizabeth-ii-phishing.html