2020近一半的钓鱼攻击使用微软相关服务窃取用户凭证,包括Office 365企业服务系列等Teams协作平台。
Cofense在周二的报告中分析了数百万封进行 *** 攻击的电子邮件,发现其中57%是钓鱼邮件,其目的在于窃取受害者的用户名和密码。其余的恶意邮件则是用来进行商业邮件泄露(BEC)恶意软件的攻击或传播。
研究人员表示,45%的钓鱼邮件使用微软的相关服务进行攻击。 *** 犯罪分子不仅使用微软的相关工具发送钓鱼邮件,还使用合法的微软域名托管钓鱼登录页面。
Cofense研究人员告诉Threatpost:"随着迁移到Office 365公司数量的增加可以让 *** 犯罪分子以合法用户的身份悄悄进入组织"。强烈建议组织迁移或使用,以确保安全Office 365同时启用多因素认证机制。
微软用户被钓鱼邮件攻击
研究人员解释说,恶意电子邮件使用不同的诱饵信息,这可能是一个简单的句子"'Joe想和你分享一个word文档。" 或者它可能只是一个包含网站链接的简单附件文件,要求用户使用微软凭证登录。
研究发现,在10月份的一次 *** 钓鱼活动中,攻击者伪造了微软Teams自动消息提醒受害者错过了一次Teams上的会议。实际上,此次攻击目的是为了窃取Office 365收件人登录凭证。
12在月球的另一次攻击中使用URL嵌入技术将重新定位为假微软Office 365钓鱼页面。攻击者还会伪造eFax等待企业的电子邮件,eFax允许用户发送电子邮件或在线接收传真的互联网传真服务。
研究人员说:"我们还看到, *** 犯罪分子为用户提供了从最常用的电子邮件平台中选择平台的选项。钓鱼邮件中的链接通常在合法域名上托管URL,这些域名通常有大量的用户群,以避免被内容审查规则和过滤器拦截。"
据研究人员介绍,45%的凭证窃取 *** 钓鱼攻击是利用微软的相关服务进行的,其他攻击 *** 是通用的,这意味着这些攻击不使用特定品牌的电子邮件攻击或要求收件人登录相关页面窃取凭证。
除了微软用户可靠的合作服务外,SharePoint、OneDrive或Office 365和其他工具,研究人员说,他们看到犯罪分子在攻击中使用其他云服务提供商的产品。这包括谷歌(如谷歌)Google Forms)、Adobe文件共享服务等。
研究人员告诉Threatpost:"我们观察到,要求受害者提供各种云托管服务,如Adobe,Dropbox,Box,DocuSign或WeTransfer, *** 攻击者可以在互联网上搜索与特定业务相关的文件共享网站,顺利绕过安全电子邮件网关的控制和 *** *** 过滤器的审查。"
恶意电子邮件攻击电子邮件攻击
研究人员发现,近17%的恶意电子邮件攻击与金融交易有关。
这些钓鱼邮件中的许多都与工作中涉及的发票和交易有关。例如,最近的一个案例是这样的 *** 攻击。这些电子邮件使用的攻击主题是电子发票。这些电子邮件已经发送到超过2000个电子邮件。电子邮件声称发送人应查看电子资金转移(EFT)付款信息。本月早些时候发现的电子邮件有"TRANSFER OF PAYMENT NOTICE FOR INVOICE"主题还包括从云下载 "发票 "的链接。
研究人员说,这些类型的攻击是有效的,因为 "财务团队可能面临巨大的压力。为了保持业务的正常运行,需要及时处理发票和付款问题,特别是在月底或季末,因为财务报告非常重要。因此,如果用户没有收到任何电子邮件回复,他们可能会主动与对方沟通"。
GuLoader恶意软件的兴起
研究人员发现,2020年,GuLoader发射机已成为电子邮件攻击中最常用的恶意软件之一。
恶意软件首次出现在之一季度,并在2020年第二季度得到广泛应用。主要用于传播远程管理工具、键盘记录器、凭证窃取器等恶意软件。
例如,在6月份的一次电子邮件攻击中,人们发现这次电子邮件攻击的目标是奥地利、德国和瑞士的中层员工,这是恶意的Excel附件。一旦打开并启用宏,Microsoft Excel附件将执行附件GuLoader,而GuLoader将再次下载和执行Hakbit勒索软件。
由于该软件可以避免 *** 和电子邮件的安全检测,其突出的优势使其成为 *** 犯罪分子攻击的工具。例如,研究人员说,恶意软件包含虚假的代码指令,这样它就可以绕过分析工具的扫描,避免在虚拟或沙箱环境中执行。恶意软件背后的攻击者恶意有效载荷Google Drive或微软OneDrive等待云平台。因为它们是合法的服务,所以不会被安全软件拦截。
研究人员说:"虽然GuLoader这是一个可执行的文件,但它通常通过恶意的办公文件感染计算机,以绕过安全控制,方便恶意软件直接下载到受害者的计算机系统,因为GuLoader更复杂的攻击技术将不断演变,使该工具在 *** 攻击中越来越有用。"
本文翻译自:https://threatpost.com/microsoft-lures-credential-swiping-phishing-emails/164207/