网络钓鱼攻击假冒 Google ReCAPTCHA 盗取 Office 365 密码
针对Microsoft用户的网络钓鱼攻击利用了伪造的Google reCAPTCHA系统。
在不断进行的旨在窃取其Office 365凭据的攻击中,Microsoft用户受到成千上万的网络钓鱼电子邮件的攻击。攻击者利用虚假的Google reCAPTCHA系统和包含受害者公司徽标的顶级域名登录页面,为这场行动增添了合法性的气氛。
根据研究人员的说法,在过去三个月中,至少有2500封这样的电子邮件未能成功发送给银行和IT部门的高级员工。电子邮件首先会将收件人带到伪造的Google reCAPTCHA系统页面。 Google reCAPTCHA是一项服务,可通过使用图灵测试来区分人类和机器人(例如,通过要求用户点击一系列图像中的消火栓)来帮助保护网站免受垃圾邮件和滥用的侵害。
一旦受害者“通过”了reCAPTCHA测试,他们就会被重定向到网络钓鱼登陆页面,该页面要求他们提供Office 365凭据。、
Zscaler的ThreatLabZ安全研究小组的研究人员在周五表示:“此次攻击以针对高级商业领袖的目标而著名,这些领袖具有副总裁和常务董事等头衔,他们可能会更频繁地访问敏感的公司数据。” “这些活动的目的是窃取这些受害者的登录凭据,以使威胁行为者能够访问公司的宝贵资产。”
假冒网络钓鱼电子邮件:语音邮件附件
网络钓鱼电子邮件伪装成来自受害人统一通信工具的自动电子邮件,该工具说他们具有语音邮件附件。例如,一封电子邮件告诉用户“(503) ***-6719 has left you a message 35 second(s) long on Jan 20”,以及一个名为“vmail-219.HTM”的单独附件。另一个告诉电子邮件收件人“复查安全文件”。
网络钓鱼电子邮件示例。
当受害者单击附件时,他们会遇到假的Google reCAPTCHA屏幕,其中包含一个典型的reCAPTCHA框-带有用户必须单击的复选框,上面写着“我不是机器人”,然后触发图灵测试。
填写了伪造的reCAPTCHA系统后,受害者将被带到似乎是Microsoft登录屏幕的地方。登录页面还包含与受害者工作的公司不同的徽标,例如,一个包含软件公司ScienceLogic的徽标,另一个包含办公室租赁公司BizSpace的徽标。这表明攻击者已经完成了功课,并正在自定义网络钓鱼登陆页面以适合受害者的个人资料,以使攻击看起来更加合法。
要求受害者将其凭据输入系统;一旦他们这样做了,就会有一条消息告诉他们验证是“成功的”,并且他们将被重定向。
网络钓鱼登录页面模仿了Microsoft的登录页面。
研究人员说:“在提供登录凭据后,网络钓鱼活动将显示一条虚假消息,表明验证成功。” “然后,向用户显示他们可以播放的语音邮件消息的录音,从而使威胁行为者避免怀疑。”
研究人员发现了与该活动相关的各种网络钓鱼页面,这些页面是使用通用顶级域名(例如.xyz,.club和.online)托管的。这些顶级域通常被网络犯罪分子利用来进行垃圾邮件和网络钓鱼攻击。这是因为它们的购买价格每片不到1美元,这对于在网络钓鱼活动中增加一定可信度来说是一个低廉的价格。
假冒Google reCAPTCHA策略的更多网络钓鱼攻击
攻击者多年来一直在利用伪造的reCAPTCHA系统进行攻击。例如,在2019年,一场恶意软件活动以 包含恶意PHP文件链接的电子邮件为波兰银行及其用户的针对性,最终将BankBot恶意软件下载到受害者的系统上。攻击者使用了伪造的Google reCAPTCHA系统,看起来更加真实。
二月份的另一起网络钓鱼攻击据称是从语音邮件服务发送的,其中包含播放语音消息“ Play Audi Date.wav”的链接,最终通过reCAPTCHA消息将受害者重定向到恶意站点。
上面的两个示例都表明,reCAPTCHA继续用于网络钓鱼攻击,因为该策略成功地增加了攻击的合法性:“使用伪造的Google reCAPTCHA的类似网络钓鱼活动已经观察到了几年,但是这种针对特定行业高管的特定活动垂直于2020年12月开始。”研究人员指出。
在过去的几个月中,Microsoft Office 365用户面临着数种复杂的网络钓鱼攻击和诈骗。十月份研究人员警告说,网络钓鱼活动伪装成来自Microsoft Teams的自动消息。实际上,该攻击旨在窃取Office 365收件人的登录凭据。同样在10月,Office365凭据网络钓鱼攻击将目标锁定在酒店行业,使用视觉验证码来避免检测并显得合法。网络钓鱼攻击者还采用了Google Translate类的新策略,使这些骗局看起来更加合法。
