与微软相关的钓鱼攻击占所有钓鱼邮件攻击的一半

2020年近一半的钓鱼攻击都是利用微软相关服务窃取用户凭证，包括Office365企业服务系列和其他Teams协作平台。在周二的一份报告中，Cofense分析了网络攻击中使用的数百万封电子邮件，发现其中57%是旨在窃取受害者用户名和密码的网络钓鱼电子邮件。其余恶意电子邮件用于执行商业电子邮件泄露(BEC)攻击或传播恶意软件。研究人员表示，在这些钓鱼邮件中，有45%使用了与Microsoft相关的服务来进行攻击。网络罪犯既使用Microsoft相关工具发送网络钓鱼电子邮件，又使用合法的Microsoft域托管网络钓鱼登录页面。Cofense研究人员告诉Threatpost：“随着迁移到Office365的公司数量增加，窃取这些凭据可能会让网络犯罪分子以合法用户身份悄悄渗透到组织中。”为确保安全，他们强烈建议组织在迁移或使用Office365时启用多因素身份验证。Microsoft用户受到网络钓鱼电子邮件的攻击研究人员解释说，恶意电子邮件使用不同的诱饵消息，它可能像“'Joewantsto分享给你一个word文档。”或者它可以是一个简单的附加文件，其中包含指向要求用户使用Microsoft凭据登录的网站的链接。研究发现，在10月份的一次网络钓鱼活动中，攻击者伪造了一条来自MicrosoftTeams的自动消息，提醒受害者他们错过了Teams上的会议。事实上，这次攻击的目的是窃取Office365收件人的登录凭据。12月的另一次攻击使用URL嵌入技术重定向到一个假的MicrosoftOffice365网络钓鱼页面。攻击者还可以为诸如eFax之类的企业伪造电子邮件，这是一种允许用户在线发送电子邮件或接收传真的Internet传真服务。“我们还看到网络犯罪分子让用户可以从最常用的电子邮件平台中进行选择，网络钓鱼电子邮件中的链接通常是托管在通常拥有大量电子邮件地址的合法域上的URL，”研究人员说。用户组，以避免被内容审查规则和过滤器阻止。”据研究人员称，45%的凭据窃取网络钓鱼攻击是使用Microsoft相关服务进行的，其他攻击媒介也很常见，这意味着这些攻击没有利用特定品牌进行电子邮件攻击，也没有要求收件人登录相关凭据盗窃页面。除了SharePoint、OneDrive或Office365等微软值得信赖的协作服务外，研究人员表示，他们看到犯罪分子在攻击中使用其他云提供商。这包括Google（如GoogleForms）、Adobe的文件共享服务等。研究人员告诉Threatpost：“我们观察到受害者通常会被Adob??e、Dropbox、Box、DocuSign或WeTransfer等各种云托管服务要求提供凭据，网络攻击者已经能够在互联网上搜索与特定业务。文件共享站点，以便您可以成功绕过安全电子邮件网关的控制和网络代理过滤器的审查。”与金融相关的恶意电子邮件攻击研究人员发现，近17%的恶意电子邮件发现%的攻击与金融交易有关。许多这些网络钓鱼电子邮件都与工作相关的发票和交易有关。例如，在最近的一个案例中，发生了这样的网络攻击。这些电子邮件的主题主要是电子发票。这些邮件被发送到20000多个邮箱，邮件内容声称发件人想查看电子资金转账。(EFT)支付信息。本月早些时候发现的这些电子邮件的主题是“发票付款通知的转移”，还包含一个从云端下载“发票”的链接。这些类型的攻击是有效的，因为“财务团队可能承受很大压力，需要及时处理发票和付款以保持业务运行，尤其是在月末或季度末，”研究人员说。财务报告在这一点上很重要。因此，如果用户没有收到任何电子邮件回复，他们更有可能联系他们。”GuLoader恶意软件的兴起研究人员发现，到2020年，GuLoader植入程序已成为全球最常用的恶意软件之一电子邮件攻击，该恶意软件于第一季度首次出现，2020年第二季度开始大量使用，主要用于传播远程管理工具、键盘记录器、凭证窃取器等恶意软件，例如6月份的电子邮件活动有人看到针对奥地利、德国和瑞士的中层员工，带有恶意的Excel附件。打开并启用宏后，GuLoader下载并执行MicrosoftExcel附件，GuLoader随后下载并执行Hakbit勒索软件。由于该软件可以避开网络和电子邮件的安全检测，其突出的优势使其成为网络犯罪分子的攻击工具。例如，研究人员表示，该恶意软件包含伪造的代码指令，因此它可以逃避分析工具的扫描，同时也避免在虚拟或沙盒环境中执行。恶意软件背后的攻击者还将其恶意负载存储在GoogleDrive或MicrosoftOneDrive等云平台上。由于它们是合法服务，因此无法被安全软件阻止。“虽然GuLoader是一个可执行文件，但它通常会用旨在绕过安全控制并将恶意软件直接下载到受害者计算机系统的恶意办公文件感染计算机，”研究人员说。GuLoader会不断演化出更复杂的攻击技术，让这个工具在网络攻击中越来越有用。”本文翻译自：https://threatpost.com/microsoft-lures-credential-swiping-phishing-emails/164207/