120,000封钓鱼邮件窃取微软365账户，高管成主要目标

   据观察，EvilProxy向100多个组织发送了120000封钓鱼电子邮件，以窃取微软365账户。Proofpoint注意到，在过去五个月里，云账户泄露激增，令人担忧。大多数袭击的目标是高级管理人员。这场运动的目标是全球100多个组织，共影响150万员工。

   大约39%的受害者是C级高管，其中17%是首席财务官，9%是总裁和首席执行官。Proofpoint发布的帖子中写道：“黑客利用了EvilProxy，这是一种基于反向代理架构的网络钓鱼工具，黑客可以窃取受MFA保护的凭据和会话cookie。”这种日益严重的威胁将复杂的中间对手网络钓鱼与先进的账户接管方法相结合，以组织越来越多地采用多因素身份验证。

   研究人员观察到，在拥有MFA保护的租户中，账户接管显著增加，在过去一年中，至少35%的受损用户启用了MFA。大规模的黑客依赖于品牌模仿、规避技术和多步骤感染链。

   ReSecurity研究人员于2022年9月发现了EvilProxy，它与几位著名的地下行为者开发的网络钓鱼工具包有一定联系，他们以前曾针对金融机构和电子商务部门。

    EvilProxy使用反向代理和Cookie注入方法绕过2FA身份验证——代理受害者的会话。此前，此类方法已在APT和网络间谍组织的有针对性的活动中出现，然而，现在这些方法已在EvilProxy中成功生产，这突出了针对在线服务和MFA授权机制的攻击增长的重要性。

   该活动中使用的攻击链始于从伪造的电子邮件地址发送的网络钓鱼电子邮件。黑客模拟已知的可信服务，如Concur、DocuSign和Adobe。网络钓鱼邮件包含指向恶意Microsoft 365网络钓鱼网站的链接。点击嵌入链接后，收件人会通过YouTube或SlickDeals进行开放重定向，然后进行一系列重定向以避免被发现。

   最终，用户流量会被引导到EvilProxy网络钓鱼框架。登录页起到反向代理的作用，模仿收件人品牌，并试图处理第三方身份提供商。如果需要，这些页面可能会请求MFA凭据，以便于代表受害者进行真实、成功的身份验证，从而验证收集到的凭据是否合法。

   研究人员注意到，袭击的流量取决于受害者的地理位置。来自土耳其IP地址的用户流量被引导到合法网页，这种情况表明，这场运动背后的黑客总部似乎设在土耳其。

   报告最后总结道：“黑客不断寻求新的方法来窃取用户的凭据并访问有价值的用户帐户。他们的方法和技术不断适应新的安全产品和方法，如多因素身份验证。即使是MFA也不是应对复杂威胁的灵丹妙药，可以通过各种形式的电子邮件绕过MFA攻击。”