微软安全情报研究人员周二在一条推文中透露,攻击者在最近的一次网络钓鱼活动中使用了虚假的发件人地址,并使用MicrosoftSharePoint文件作为诱饵。攻击,其目的是欺骗受害者的证书。该活动的目标是通过使用SharePoint的文件共享功能使用MicrosoftOffice365的组织。研究人员表示,该活动伪造目标用户名的发件人地址并模仿合法服务,比平时更加??隐蔽,并试图绕过电子邮件过滤器。研究人员说,攻击者使用Sharepoint文件作为邮件中的诱饵发送电子邮件。当前的活动以各种主题为诱饵,犯罪分子猖獗。该电子邮件提醒收件人注意共享文件的请求,可能与他们错过的同事共享文件,并在文件中包含指向网络钓鱼页面的链接。研究人员指出,为了使这封信看起来更可信,该文件据说还包含一些合法类型的商业内容,例如员工报告、奖金或价目表。微软表示,如果用户上钩,他或她最终将被引导至一个钓鱼页面,要求他们使用合法凭据登录Office365。SharePoint协作平台现在是威胁行为者的热门目标,因为它在许多企业和商业客户中广泛使用。HeimdalSecurity的网络安全研究员DoraTudor指出,特别是利用Sharepoint的文件共享功能,再加上一点欺骗,是当今窃取受害者凭据的一种特别有效的方法。“当谈到电子邮件诈骗时,你可能会认为,如果你收到一封来自受信任实体的电子邮件,你就可以相信它是安全的,但不幸的是,电子邮件中存在的任何链接最终都可能让你感染恶意软件。”可疑迹象据微软称,虽然这次最新的活动通常是隐秘的,但有一些迹象表明有些地方不对劲。他们在Twitter上指出,原始发件人的地址使用了“推荐”一词的变体和各种顶级域,包括网络钓鱼活动中常用的com[.]com域。研究人员说,恶意活动的其他线索是在它用来将潜在受害者引导到网络钓鱼页面然后诱使他们输入凭据的URL中发现的。他们说,攻击者主要使用了两个带有格式错误的HTTP标头的URL。主要的网络钓鱼URL是存储在谷歌服务器上的一个页面,该页面指向一个AppSpot域,该域要求用户登录并在另一个谷歌内容域上提供Office365网络钓鱼页面。活动中使用的第二个URL是在通知设置中发现的。据微软称,该URL指向一个受感染的SharePoint站点,攻击者可以使用该站点来增加攻击的合法性。研究人员表示,这两个URL都需要潜在受害者登录到最终页面。研究人员在GitHub上提供了一项查询服务,该服务通过Microsoft365Defender运行以标记来自该活动的任何电子邮件。他们说,这些电子邮件可能已成功绕过其他网络安全工具。本文翻译自:https://threatpost.com/phishing-sharepoint-file-shares/168356/如有转载请注明出处。
