可以通过谷歌搜索详细信息检索被网络钓鱼活动窃取的用户密码凭据。在自8月以来一直活跃的活动中,攻击者使用伪装成Xerox扫描通知的电子邮件,敦促收件人打开恶意HTML附件。此操作允许攻击者绕过MicrosoftOffice365高级威胁防护(ATP)过滤并成功收集了超过一千个Office365企业帐户的登录凭据。专家们注意到,主要针对能源和建筑公司的网络钓鱼活动背后的网络犯罪分子意外暴露了在攻击中窃取的凭据,只需通过简单的谷歌搜索即可访问这些凭据。针对建筑和能源行业的网络钓鱼活动的攻击者暴露了在攻击中被盗的用户密码凭据,可以通过简单的谷歌搜索公开访问这些凭据。“有趣的是,网络钓鱼者将他们窃取的信息存储在专门为此网络钓鱼活动注册的域中,但由于攻击链中的一个简单错误,他们将数据存储在一个公开可见和可访问的文件中,并且也被收录和索引由谷歌搜索引擎提供。通过简单的谷歌搜索,任何人都可以找到被盗电子邮件地址的密码:这是理论家攻击者提供的每一个机会,”CheckPoint的一篇文章中写道。一旦受害者双击HTML文件,就会在浏览器中打开一个包含预配置电子邮件的模糊图像。启动HTML文件后,JavaScript代码在后台执行,收集密码,将数据发送到攻击者的服务器,然后通过将用户重定向到合法的Office365登录页面来分散用户的注意力。网络钓鱼者使用独特的基础设施和受损的WordPress网站来存储被盗数据。“我们发现攻击者还破坏了几个合法的WordPress服务器来托管恶意PHP页面(名为“go.php”、“post.php”、“gate.php”、“rent.php”或“rest.php”),并处理了所有传入的网络钓鱼攻击受害者的凭据,”该帖子继续说道。“由于现有网站的知名度如此之高,攻击者通常更愿意入侵这些网站的服务器来进行钓鱼攻击,而不是使用他们自己的基础设施。受欢迎程度越高,电子邮件的安全性就越差。供应商阻止它的可能性越大。”电子邮件从托管在MicrosoftAzure上的Linux服务器发送,它们通常使用PHPMailer6.1.5,并通过1&1电子邮件服务器进行路由。攻击者还通过受感染的电子邮件帐户发送垃圾邮件使它们看起来来自合法来源。发送到投放区服务器的数据保存在Google可以索引的公开可见文件中。这意味着任何人都可以通过简单的Google搜索访问它们。对大约500个被盗凭证的子集的分析显示受害者来自各种目标行业,包括IT、医疗保健、房地产和制造业。CheckPoint与Google分享了其调查结果。专家注意到,此活动中使用的JavaScript编码与另一场网络钓鱼活动中使用的相同2020年5月起,这种情况表明同一组攻击者可能是这两个活动的幕后黑手。该报告还包括妥协指标(IoC)。本文is译自:https://securityaffairs.co/wordpress/113705/hacking/phishing-stolen-pwd-google-search.html如有转载请注明原文地址。
