微软警告说,使用开放重定向的网络钓鱼攻击非常普遍
微软警告称,一场广泛的凭证钓鱼活动将利用电子邮件通信中打开的重定向器链接作为载体,诱骗用户访问恶意网站,同时有效绕过安全软件。
Microsoft 365 Defender威胁情报团队在本周发布的一份报告中表示:“攻击者将这些链接与社会工程诱饵结合起来,这些诱饵模仿知名的生产工具和服务,诱使用户点击。”。
“这样做会导致一系列重定向—;包括一个验证码验证页面,该页面增加了合法性,并试图在用户进入虚假登录页面之前避开一些自动分析系统。这最终会导致凭证泄露,从而使用户及其组织面临其他攻击。”
虽然电子邮件中的重定向链接是将收件人转到第三方网站或跟踪点击率、衡量销售和营销活动成功与否的重要工具,但对手也可能滥用同样的技术将此类链接重定向到自己的基础设施,同时保持完整URL中的受信任域完好无损,以逃避反恶意软件引擎的分析,即使用户试图在链接上悬停以检查任何可疑内容的迹象。
为了将潜在受害者引向钓鱼网站,嵌入邮件中的重定向URL使用合法服务设置,而链接中包含的最终参与者控制的域利用顶级域。xyz。俱乐部购物,还有。在线(例如“c-tl[.]xyz),但它们被作为参数传递,以便偷偷通过电子邮件网关解决方案。
微软表示,作为此次活动的一部分,它观察到了至少350个独特的网络钓鱼域名;又一次试图掩盖检测结果—;强调了该活动有效地使用了令人信服的社会工程诱饵,这些诱饵声称是来自Office 365和Zoom等应用程序的通知消息,这是一种精心设计的检测规避技术,以及一种执行攻击的耐用基础设施。
研究人员说:“这不仅显示了这次攻击的规模,还显示了攻击者在攻击中投入了多少资金,这表明了潜在的重大回报。”。
为了给攻击披上真实的外衣,单击精心制作的链接会将用户重定向到一个恶意登录页面,该页面使用Google reCAPTCHA阻止任何动态扫描尝试。验证码验证完成后,受害者会显示一个仿效已知服务(如Microsoft Office 365)的欺诈性登录页面,只有在提交信息时才会刷取密码。
研究人员指出:“这场网络钓鱼活动体现了[社会工程、检测规避和大型攻击基础设施]的完美风暴,它试图窃取凭证并最终渗透到网络中。”。“鉴于91%的网络攻击源于电子邮件,因此组织必须有一个安全解决方案,为他们提供针对此类攻击的多层次防御。”