[[420169]]

微軟的安全情報研究人員在周二的推文中透露，攻擊者在最近的一個網絡釣魚活動中使用偽造的發件人地址并使用微軟SharePoint文件作為誘餌進行攻擊，其目的是騙取受害者的證書。該攻擊活動針對的是使用微軟Office 365的機構組織，通過使用SharePoint的文件共享功能進行攻擊。研究人員說，該攻擊活動偽造了目標用戶名的發件人地址，而且還模仿了合法的服務，該攻擊活動比往常更狡猾隱蔽，并試圖繞過電子郵件過濾器。

研究人員說，攻擊者通過發送電子郵件并在信息中使用了Sharepoint文件作為誘餌。目前這次攻擊活動使用了各種主題作為誘餌，犯罪分子非常猖狂。

這封電子郵件提醒收件人這里有一個共享文件請求，這個人可能是他們錯過的同事，并在文件中包含了一個網絡釣魚頁面的鏈接。研究人員指出，為了使信件顯得更加真實可信，據說該文件還包含了某種合法類型的業務內容，如員工報告、獎金或價格清單。

微軟表示，如果用戶上鉤，他或她最終會被引導到一個釣魚頁面，頁面要求他們用自己的合法憑證登錄Office 365。

鑒于SharePoint協作平臺在許多企業和商業客戶中被廣泛使用，它現在是威脅者的一個熱門攻擊目標。

Heimdal Security公司的網絡安全研究人員Dora Tudor指出，尤其是利用sharepoint的文件共享功能，再加上一點欺騙信息，是現在竊取受害者憑證的一種特別有效的方式。

她在周二的一篇博文中指出："當涉及到電子郵件詐騙時，你可能會認為，如果收到的電子郵件來自一個受信任的實體，你可以相信它是安全的，但不幸的是，電子郵件中存在的任何鏈接都可能最終使你感染惡意軟件。”

可疑的跡象

據微軟稱，盡管這一最新的攻擊活動總體上很有隱蔽性，但有一些跡象表明事情不對勁。

他們在Twitter上指出，原始發件人的地址中使用了 "referral"一詞的變體，還使用了各種頂級域名，包括網絡釣魚活動常用的com[.]com域名。

研究人員稱，該惡意攻擊活動的其他線索是在其使用的URL中發現的，這些URL將潛在的受害者引向網絡釣魚頁面然后誘導他們輸入憑證。

他們說，攻擊者主要使用兩個帶有畸形HTTP頭的URL。主要的釣魚網址是一個存儲在谷歌服務器上的頁面，它指向了一個AppSpot域，該域要求用戶登錄賬號，并在另一個谷歌內容域中提供Office 365釣魚頁面。

該活動中使用的第二個URL是在通知設置中發現的。據微軟稱，這個網址指向一個被攻陷了的SharePoint網站，攻擊者使用它可以來增加攻擊的合法性。研究人員說，這兩個URL都要求潛在的受害者登錄到最后的頁面。

研究人員在GitHub上提供了一個查詢服務，它可以通過Microsoft 365 Defender的運行，來標記來自該攻擊活動的任何電子郵件。他們說，這些電子郵件可能已經成功繞過了其他的網絡安全工具。

本文翻譯自：https://threatpost.com/phishing-sharepoint-file-shares/168356/如若轉載，請注明原文地址。