電子郵件安全和威脅檢測服務提供商Vade公司近日發布了一份報告，詳細闡述了最近發現的一起網絡釣魚攻擊，這起攻擊成功欺騙了Microsoft 365身份驗證系統。

據Vade的威脅情報和響應中心（TIRC）聲稱，攻擊電子郵件含有一個帶有JavaScript代碼的有害HTML附件。這段代碼的目的在于收集收件人的電子郵件地址，并使用來自回調函數變量的數據篡改頁面。

TIRC的研究人員在分析一個惡意域名時解碼了使用base64編碼的字符串，獲得了與Microsoft 365網絡釣魚攻擊相關的結果。研究人員特別指出，對網絡釣魚應用程序的請求是向eevilcorponline發出的。

研究人員通過periodic-checkerglitchme發現，其源代碼與附件的HTML文件很相似，這表明網絡釣魚者在利用glitch.me來托管惡意的HTML頁面。

glitch.me是一個允許用戶創建和托管Web應用程序、網站和各種在線項目的平臺。遺憾的是，在這種情況下，該平臺卻被人利用，用于托管涉及這起進行中的Microsoft 365網絡釣魚騙局的域名。

當受害者收到一封含有惡意HTML文件（作為附件）的電子郵件時，攻擊就開始了。受害者打開該文件后，一個偽裝成Microsoft 365的網絡釣魚頁面就會在受害者的互聯網瀏覽器中啟動。在這個欺騙性頁面上，攻擊者提示受害者輸入其憑據，攻擊者會迅速收集這些憑據用于惡意目的。

由于Microsoft 365在商業界得到廣泛采用，被泄露的賬戶很有可能屬于企業用戶。因此，如果攻擊者獲得了對這些憑據的訪問權，他們就有可能獲得敏感的商業和交易信息。

此外據報告顯示，Vade的研究人員還發現了一種涉及使用被欺騙的Adobe版本的網絡釣魚攻擊。

新的網絡釣魚攻擊欺騙Microsoft 365身份驗證系統

圖1. Office 365和Adobe網絡釣魚詐騙的登錄頁面（圖片來源：Vade）

進一步分析后發現，惡意的“eevilcorp”域名返回了一個與Hawkeye應用程序相關的身份驗證頁面。值得一提的是，包括Talos在內的網絡安全專家曾對最初的HawkEye鍵盤記錄器進行了分析，將其歸類為2013年出現的惡意軟件套件，隨后出現了后續版本。

這一發現很重要，因為這解釋了為什么TIRC的研究人員無法將身份驗證頁面與HawkEye鍵盤記錄器直接聯系起來。

發現的攻陷指標（IoC）如下：

periodic-checkerglitchme

scan-verifiedglitchme

transfer-withglitchme

air-droppedglitchme

precise-shareglitchme

monthly-payment-invoiceglitchme

monthly-report-checkglitchme

eevilcorponline

ultimotemporeonline

這起攻擊之所以引人注目，是由于它利用了惡意域名（eevilcorponline）和HawkEye。作為一種鍵盤記錄器和數據竊取工具，HawkEye可以在黑客論壇上買到。雖然Vade的調查仍在進行中，但是用戶有必要保持警惕，并遵循以下這些措施，以防止淪為Microsoft 365網絡釣魚騙局的受害者：

仔細核對電子郵件發件人：小心那些聲稱由Microsoft 365發來、實際上由可疑或不熟悉的電子郵件地址發來的電子郵件。驗證發件人的郵件地址，以確保它與微軟官方域名匹配。

留意一般的問候語：網絡釣魚電子郵件常常使用一般的問候語，比如“親愛的用戶”，而不是直接稱呼你的姓名。正規的微軟電子郵件通常用你的姓名或用戶名來稱呼你。

分析電子郵件內容和格式：注意拼寫和語法錯誤以及糟糕的格式。網絡釣魚電子郵件常常含有微軟的正規郵件不會含有的錯誤。

將鼠標懸停在鏈接上方：在點擊電子郵件中的任何鏈接之前，將鼠標懸停在鏈接上方，以查看實際的URL。如果鏈接的目的地看起來可疑或與微軟官方域名不同，請不要點擊它。

警惕緊急請求：網絡釣魚電子郵件常常給人一種緊迫感，迫使你立即采取行動。小心那些聲稱你的Microsoft 365賬戶存在風險或要求緊急驗證個人信息的電子郵件。

切記，如果你懷疑一封電子郵件是網絡釣魚騙局，最好謹慎行事。向微軟報告任何可疑的電子郵件，并避免提供個人或敏感信息，除非你可以通過官方渠道核實請求的合法性。

本文翻譯自：https://www.hackread.com/phishing-attack-microsoft-365-authentication/如若轉載，請注明原文地址