网络钓鱼活动盗取密码可通过 Google 搜索获得

Check Point Research与来自网络安全公司Otorio的专家分享了他们对数千个全球组织的大规模网络钓鱼活动进行调查详细信息。

该活动自8月以来一直很活跃，攻击者使用伪装为Xerox扫描通知的电子邮件，敦促收件人打开恶意HTML附件。此技巧使攻击者可以绕过Microsoft Office 365高级威胁防护（ATP）过滤，并窃取了上千个公司员工的凭据。

专家注意到，网络钓鱼活动背后的运营商主要针对能源和建筑公司，但他们不小心暴露了在攻击中被盗的凭据，这些攻击可通过简单的Google搜索公开查看。

针对建筑和能源行业的网络钓鱼活动的运营商暴露了在攻击中被盗的凭据，这些攻击可以通过简单的Google搜索公开查看。

“有趣的是，由于其攻击链中的一个简单漏洞，网络钓鱼活动背后的攻击者在攻击者使用的数十个防区服务器中将其窃取的凭据暴露给了公共互联网。通过简单的Google搜索，任何人都可以找到一个被盗的电子邮件地址的密码：这是给每一个攻击者的礼物。” 阅读Check Point发布的帖子。

一旦受害者双击HTML文件，就会在浏览器中打开文档中带有预配置电子邮件的模糊图像。

启动HTML文件后，将在后台执行JavaScript代码，它将收集密码，将数据发送到攻击者的服务器，然后将用户重定向到合法的Office 365登录页面。

网络钓鱼者使用了独特的基础结构和受损的WordPress网站来存储被盗的数据。

“我们发现了数十个遭到破坏的WordPress服务器，它们托管了恶意PHP页面（名为“ go.php”，“ post.php”，“ gate.php”，“ rent.php”或“ rest.php”），并处理了所有传入的网络钓鱼攻击受害者的凭据。” 继续发帖。*

“由于现有网站的知名度，攻击者通常更喜欢使用受损的服务器而不是其自己的基础结构。声誉越被广泛认可，则安全厂商不会阻止电子邮件的可能性就越大。”

电子邮件是从托管在Microsoft Azure上的Linux服务器发送的，通常是使用PHP Mailer 6.1.5发送的，并使用1＆1电子邮件服务器发送的。

攻击者还通过受感染的电子邮件帐户发送了垃圾邮件，以使这些邮件似乎来自合法来源。

发送到放置区服务器的数据被保存在Google可以索引的公开可见文件中。这意味着只要进行简单的Google搜索，任何人都可以使用它们。

对大约500个被盗凭证的子集进行的分析显示，受害者属于各种目标行业，包括IT，医疗保健，房地产和制造业。

Check Point与Google分享了调查结果。

专家注意到，此活动中使用的JavaScript编码与2020年5月以后的另一个网络钓鱼活动中使用的JavaScript编码相同，这种情况表明，团体威胁参与者是这两个活动的背后。

该报告还包括危害指标（IoC）。