和微軟相關(guān)的釣魚攻擊占總釣魚郵件攻擊的一半
2020年近一半的釣魚攻擊都在使用微軟相關(guān)的服務(wù)來竊取用戶的憑證,包括Office 365企業(yè)服務(wù)系列和其它Teams協(xié)作平臺。
Cofense在周二的報告中分析了數(shù)百萬封進(jìn)行網(wǎng)絡(luò)攻擊的電子郵件,發(fā)現(xiàn)其中57%是釣魚郵件,其目的在于竊取受害者的用戶名和密碼。其余的惡意郵件則是用來進(jìn)行商業(yè)郵件泄露(BEC)攻擊或傳播惡意軟件。
研究人員表示,在這些釣魚郵件中,45%使用了微軟的相關(guān)服務(wù)來進(jìn)行攻擊。網(wǎng)絡(luò)犯罪分子既使用了微軟的相關(guān)工具來發(fā)送釣魚郵件,又利用了合法的微軟域名來托管釣魚登陸頁面。
Cofense的研究人員告訴Threatpost:"隨著遷移到Office 365的公司數(shù)量的增加,竊取這些憑證后可以讓網(wǎng)絡(luò)犯罪分子以合法用戶的身份悄無聲息的進(jìn)入到組織內(nèi)部"。為確保安全,他們強(qiáng)烈建議組織在遷移或使用Office 365的同時啟用多因素認(rèn)證機(jī)制。
微軟用戶受到釣魚郵件的攻擊
研究人員解釋說,惡意電子郵件使用的誘餌信息各有不同,它可能直接是一句簡單的"'Joe想分享給你你一個word文檔。" 或者它可能只是一個簡單的附件文件,其中包含了一個網(wǎng)站的鏈接,該鏈接要求用戶使用微軟憑證進(jìn)行登錄。
研究發(fā)現(xiàn),10月份的一次網(wǎng)絡(luò)釣魚活動中,攻擊者偽造了一個來自微軟Teams的自動消息,該消息提醒受害者他們錯過了一次Teams上的會議。實(shí)際上,此次攻擊目的是為了竊取Office 365收件人的登錄憑證。
12月的另一次攻擊中使用了URL嵌入技術(shù),該鏈接會重定向到一個假冒的微軟Office 365釣魚頁面。攻擊者還會偽造eFax等企業(yè)的電子郵件,eFax是一種互聯(lián)網(wǎng)傳真服務(wù),它允許用戶發(fā)送電子郵件或在線接收傳真。
研究人員說:"我們還看到網(wǎng)絡(luò)犯罪分子給用戶提供了從最常用的電子郵件平臺中選擇平臺的選項(xiàng),釣魚郵件中的鏈接通常是托管在合法域名上的URL,這些域名一般有大量的用戶群體,這樣可以避免被內(nèi)容審查規(guī)則和過濾器攔截。"
根據(jù)研究人員的說法,45%的憑證竊取網(wǎng)絡(luò)釣魚攻擊是利用微軟的相關(guān)服務(wù)進(jìn)行的,其他的攻擊方式是通用的,這意味著這些攻擊并沒有利用一個特定的品牌進(jìn)行電子郵件攻擊或要求收件人登錄相關(guān)頁面進(jìn)行憑證竊取。
除了微軟有用戶值得信賴的協(xié)作服務(wù),如SharePoint、OneDrive或Office 365等工具,研究人員表示,他們看到了犯罪分子在攻擊中還利用了其他的云服務(wù)商的產(chǎn)品。這其中包括谷歌(如Google Forms)、Adobe的文件共享服務(wù)等。
研究人員告訴Threatpost:"我們觀察到要求受害者提供憑證的一般是各種云托管服務(wù),如Adobe,Dropbox,Box,DocuSign或WeTransfer,網(wǎng)絡(luò)攻擊者已經(jīng)能夠在互聯(lián)網(wǎng)上搜索到那些和具體業(yè)務(wù)有關(guān)的文件共享網(wǎng)站,這樣就可以順利地繞過安全電子郵件網(wǎng)關(guān)的控制以及網(wǎng)絡(luò)代理過濾器的審查。"
與金融相關(guān)的惡意電子郵件攻擊
研究人員發(fā)現(xiàn),在被發(fā)現(xiàn)的惡意電子郵件中,有近17%的攻擊與金融交易有關(guān)。
這些釣魚郵件許多都和工作中所涉及到的發(fā)票和交易有關(guān)。例如,最近的一個案例就是發(fā)生了這樣的一起網(wǎng)絡(luò)攻擊,這些電子郵件所使用的攻擊主題主要是電子發(fā)票,這些電子郵件發(fā)送到了超過2萬個郵箱中,郵件內(nèi)容聲稱發(fā)送方要查看電子資金轉(zhuǎn)移(EFT)支付的信息。本月早些時候發(fā)現(xiàn)的郵件帶有"TRANSFER OF PAYMENT NOTICE FOR INVOICE"的主題,并且還包含了一個從云端下載 "發(fā)票 "的鏈接。
研究人員表示,這些類型的攻擊之所以有效,是因?yàn)? "財務(wù)團(tuán)隊可能有很大的壓力,為保持業(yè)務(wù)的正常運(yùn)行,需要及時處理發(fā)票和付款的問題,特別是在月末或季末期間,因?yàn)榇藭r的財務(wù)報告很重要。因此,如果用戶沒有收到任何電子郵件回復(fù),他們很可能還會主動與對方進(jìn)行溝通交流"。
GuLoader惡意軟件的興起
研究人員發(fā)現(xiàn),在2020年,GuLoader投放器已經(jīng)成為了電子郵件攻擊中最常用的惡意軟件之一。
該惡意軟件首次出現(xiàn)在第一季度,并在2020年第二季度中開始被大量使用,它主要是用于傳播遠(yuǎn)程管理工具、鍵盤記錄器、憑證竊取器和其他惡意軟件。
例如,在6月的一次電子郵件攻擊活動中人們發(fā)現(xiàn),此次郵件攻擊的目標(biāo)是奧地利、德國和瑞士的中層員工,并附帶有惡意的Excel附件。一旦打開并啟用宏,Microsoft Excel附件就會被下載并執(zhí)行GuLoader,而GuLoader又會下載并執(zhí)行Hakbit勒索軟件。
由于該軟件可以避開網(wǎng)絡(luò)和電子郵件的安全檢測,它突出的優(yōu)勢使其成為了網(wǎng)絡(luò)犯罪分子進(jìn)行攻擊的工具。例如,研究人員表示,該惡意軟件包含虛假的代碼指令,這樣它就可以繞過分析工具的掃描,同時還可以避免在虛擬或沙箱環(huán)境中執(zhí)行。惡意軟件背后的攻擊者還將他們的惡意有效載荷存儲在Google Drive或微軟OneDrive等云平臺上。由于它們是合法服務(wù),所以不會被安全軟件攔截。
研究人員說:"雖然GuLoader是一個可執(zhí)行文件,但它通常會通過惡意的辦公文件來進(jìn)行感染計算機(jī),這些文件是為了繞過安全控制,方便直接向受害者的計算機(jī)系統(tǒng)中下載惡意軟件,由于GuLoader會不斷的演化出更為復(fù)雜的攻擊技術(shù),使得該工具在網(wǎng)絡(luò)攻擊方面越來越有用。"
本文翻譯自:https://threatpost.com/microsoft-lures-credential-swiping-phishing-emails/164207/
