電子郵件安全和威脅檢測(cè)服務(wù)提供商Vade公司近日發(fā)布了一份報(bào)告，詳細(xì)闡述了最近發(fā)現(xiàn)的一起網(wǎng)絡(luò)釣魚攻擊，這起攻擊成功欺騙了Microsoft 365身份驗(yàn)證系統(tǒng)。

據(jù)Vade的威脅情報(bào)和響應(yīng)中心（TIRC）聲稱，攻擊電子郵件含有一個(gè)帶有JavaScript代碼的有害HTML附件。這段代碼的目的在于收集收件人的電子郵件地址，并使用來自回調(diào)函數(shù)變量的數(shù)據(jù)篡改頁面。

TIRC的研究人員在分析一個(gè)惡意域名時(shí)解碼了使用base64編碼的字符串，獲得了與Microsoft 365網(wǎng)絡(luò)釣魚攻擊相關(guān)的結(jié)果。研究人員特別指出，對(duì)網(wǎng)絡(luò)釣魚應(yīng)用程序的請(qǐng)求是向eevilcorponline發(fā)出的。

研究人員通過periodic-checkerglitchme發(fā)現(xiàn)，其源代碼與附件的HTML文件很相似，這表明網(wǎng)絡(luò)釣魚者在利用glitch.me來托管惡意的HTML頁面。

glitch.me是一個(gè)允許用戶創(chuàng)建和托管Web應(yīng)用程序、網(wǎng)站和各種在線項(xiàng)目的平臺(tái)。遺憾的是，在這種情況下，該平臺(tái)卻被人利用，用于托管涉及這起進(jìn)行中的Microsoft 365網(wǎng)絡(luò)釣魚騙局的域名。

當(dāng)受害者收到一封含有惡意HTML文件（作為附件）的電子郵件時(shí)，攻擊就開始了。受害者打開該文件后，一個(gè)偽裝成Microsoft 365的網(wǎng)絡(luò)釣魚頁面就會(huì)在受害者的互聯(lián)網(wǎng)瀏覽器中啟動(dòng)。在這個(gè)欺騙性頁面上，攻擊者提示受害者輸入其憑據(jù)，攻擊者會(huì)迅速收集這些憑據(jù)用于惡意目的。

由于Microsoft 365在商業(yè)界得到廣泛采用，被泄露的賬戶很有可能屬于企業(yè)用戶。因此，如果攻擊者獲得了對(duì)這些憑據(jù)的訪問權(quán)，他們就有可能獲得敏感的商業(yè)和交易信息。

此外據(jù)報(bào)告顯示，Vade的研究人員還發(fā)現(xiàn)了一種涉及使用被欺騙的Adobe版本的網(wǎng)絡(luò)釣魚攻擊。

新的網(wǎng)絡(luò)釣魚攻擊欺騙Microsoft 365身份驗(yàn)證系統(tǒng)

圖1. Office 365和Adobe網(wǎng)絡(luò)釣魚詐騙的登錄頁面（圖片來源：Vade）

進(jìn)一步分析后發(fā)現(xiàn)，惡意的“eevilcorp”域名返回了一個(gè)與Hawkeye應(yīng)用程序相關(guān)的身份驗(yàn)證頁面。值得一提的是，包括Talos在內(nèi)的網(wǎng)絡(luò)安全專家曾對(duì)最初的HawkEye鍵盤記錄器進(jìn)行了分析，將其歸類為2013年出現(xiàn)的惡意軟件套件，隨后出現(xiàn)了后續(xù)版本。

這一發(fā)現(xiàn)很重要，因?yàn)檫@解釋了為什么TIRC的研究人員無法將身份驗(yàn)證頁面與HawkEye鍵盤記錄器直接聯(lián)系起來。

發(fā)現(xiàn)的攻陷指標(biāo)（IoC）如下：

periodic-checkerglitchme

scan-verifiedglitchme

transfer-withglitchme

air-droppedglitchme

precise-shareglitchme

monthly-payment-invoiceglitchme

monthly-report-checkglitchme

eevilcorponline

ultimotemporeonline

這起攻擊之所以引人注目，是由于它利用了惡意域名（eevilcorponline）和HawkEye。作為一種鍵盤記錄器和數(shù)據(jù)竊取工具，HawkEye可以在黑客論壇上買到。雖然Vade的調(diào)查仍在進(jìn)行中，但是用戶有必要保持警惕，并遵循以下這些措施，以防止淪為Microsoft 365網(wǎng)絡(luò)釣魚騙局的受害者：

仔細(xì)核對(duì)電子郵件發(fā)件人：小心那些聲稱由Microsoft 365發(fā)來、實(shí)際上由可疑或不熟悉的電子郵件地址發(fā)來的電子郵件。驗(yàn)證發(fā)件人的郵件地址，以確保它與微軟官方域名匹配。

留意一般的問候語：網(wǎng)絡(luò)釣魚電子郵件常常使用一般的問候語，比如“親愛的用戶”，而不是直接稱呼你的姓名。正規(guī)的微軟電子郵件通常用你的姓名或用戶名來稱呼你。

分析電子郵件內(nèi)容和格式：注意拼寫和語法錯(cuò)誤以及糟糕的格式。網(wǎng)絡(luò)釣魚電子郵件常常含有微軟的正規(guī)郵件不會(huì)含有的錯(cuò)誤。

將鼠標(biāo)懸停在鏈接上方：在點(diǎn)擊電子郵件中的任何鏈接之前，將鼠標(biāo)懸停在鏈接上方，以查看實(shí)際的URL。如果鏈接的目的地看起來可疑或與微軟官方域名不同，請(qǐng)不要點(diǎn)擊它。

警惕緊急請(qǐng)求：網(wǎng)絡(luò)釣魚電子郵件常常給人一種緊迫感，迫使你立即采取行動(dòng)。小心那些聲稱你的Microsoft 365賬戶存在風(fēng)險(xiǎn)或要求緊急驗(yàn)證個(gè)人信息的電子郵件。

切記，如果你懷疑一封電子郵件是網(wǎng)絡(luò)釣魚騙局，最好謹(jǐn)慎行事。向微軟報(bào)告任何可疑的電子郵件，并避免提供個(gè)人或敏感信息，除非你可以通過官方渠道核實(shí)請(qǐng)求的合法性。

本文翻譯自：https://www.hackread.com/phishing-attack-microsoft-365-authentication/如若轉(zhuǎn)載，請(qǐng)注明原文地址