Microsoft用户在持续不断的不分青红皂白的攻击中遭受了数以千计的网络钓鱼电子邮件攻击,目的是窃取用户的Office365凭据。攻击者利用了伪造的谷歌reCAPTCHA系统和包含受害者公司徽标的顶级域登录页面,增加了伪造系统的合法性。据研究人员称,在过去三个月中,至少有2,500封此类电子邮件被发送给银行和IT部门的高级员工,但都没有成功。该电子邮件首先将收件人带到一个虚假的GooglereCAPTCHA系统页面。GooglereCAPTCHA是一项服务,通过使用图灵测试来区分人类和机器人(例如,通过要求用户点击一系列图像中的消防栓),帮助保护网站免受垃圾邮件和滥用。一旦受害者“通过”reCAPTCHA测试,他们将被重定向到一个网络钓鱼登录页面,要求他们提供Office365凭据。Zscaler的ThreatLabZ安全研究小组的研究人员周五表示:“这种攻击以副总裁和董事总经理等头衔的高级企业领导人为目标,他们可能更频繁地访问敏感的企业数据。”“这些活动的目标是窃取这些受害者的登录凭据,以便威胁行为者能够访问重要的公司资产。”虚假网络钓鱼电子邮件:语音邮件附件该工具说它们具有语音邮件附件的自动电子邮件。例如,一封告诉用户“(503)***-6719于1月20日给您留下了一条35秒长的消息”的电子邮件,以及一个名为“vmail-219.HTM”的单独附件。另一位告诉电子邮件告诉收件人“查看安全文件”。当受害者点击附件时,他们会看到一个假的谷歌reCAPTCHA页面,其中包含一个典型的reCAPTCHA框——用户必须在触发图灵测试之前点击一个显示“我不是机器人”的复选框。填写伪造的reCAPTCHA系统后,受害者会被引导至看似Microsoft的登录页面。登录页面还包含与受害者工作的公司不同的标识,例如,一个包含软件公司ScienceLogic的标识,另一个包含办公室租赁公司BizSpace的标识。这表明攻击者已经完成了他们的功课,并且正在定制网络钓鱼登陆页面以适合受害者的个人资料,以使攻击看起来更合法。受害者被要求将他们的登录凭据输入系统;一旦他们有,一条消息告诉他们验证“成功”并且他们被重定向。研究人员说:“在提供登录凭据后,网络钓鱼活动将显示一条虚假消息,上面写着‘验证成功’。”“然后,威胁者通过向用户展示他们可以播放的语音邮件消息的录音来避免怀疑。”研究人员发现了与该活动相关的各种网络钓鱼页面,这些页面是使用托管的gTLD(例如.xyz、.club和.online)创建的。这些顶级域经常被网络犯罪分子利用来进行垃圾邮件和网络钓鱼攻击。这是因为它们的购买价格不到1美元,以非常便宜的价格增加了网络钓鱼活动的可信度。更多网络钓鱼攻击假谷歌reCAPTCHA攻击者多年来一直在利用假的reCAPTCHA系统。例如,在2019年,针对波兰银行及其用户的恶意软件活动利用包含恶意PHP文件链接的电子邮件,最终将BankBot恶意软件下载到受害者的系统上。攻击者使用伪造的GooglereCAPTCHA系统使其看起来更真实。2月份的另一次网络钓鱼攻击据称来自语音邮件服务,其中包含一个播放语音消息“PlayAudiDate.wav”的链接,最终通过reCAPTCHA消息将受害者重定向到恶意站点。上面的两个例子都表明reCAPTCHA继续用于网络钓鱼攻击,因为该策略成功地增加了攻击的合法性:2020年12月。”在过去的几个月里,MicrosoftOffice365用户面临了几次复杂的网络钓鱼攻击和诈骗。10月,研究人员警告说,网络钓鱼活动会伪装成来自MicrosoftTeams的自动消息。实际上,该攻击旨在窃取Office365收件人的登录凭据。同样在10月,针对酒店业的Office365凭据网络钓鱼攻击使用视觉验证码来避免检测并提高其合法性。网络钓鱼者还使用谷歌翻译或自定义字体等新策略来使骗局看起来更合法。本文翻译自:https://threatpost.com/google-recaptcha-phishing-office-365/164566/#modal_newsletter
