犯罪分子通过鱼叉式钓鱼虚假卡巴斯基电子邮件地址窃取Office365凭据。尽管网络钓鱼电子邮件来自noreply@sm.kaspersky.com等发件人地址,但卡巴斯基已确定没有人发送过这些邮件,该安全公司周一在一份咨询报告中表示。相反,这些电子邮件是使用卡巴斯基的合法亚马逊简单电子邮件服务(SES)令牌发送的。AmazonSES是一种可扩展的电子邮件服务,允许开发人员在任何应用场景(例如市场营销或群发电子邮件通信)中发送电子邮件。据卡巴斯基称,该访问令牌是在测试网站2050.earth时分发给第三方承包商的。卡巴斯基项目的2050.earth网站以交互式地图为特色,未来学家和其他人可以用它来推测未来几十年地球会发生什么。该网站托管在亚马逊的基础设施上。卡巴斯基表示,在发现Office365凭据鱼叉式网络钓鱼攻击的频率激增后,它立即撤销了SES令牌,很可能来自多个威胁参与者。根据官方发布的消息,钓鱼攻击并未造成任何损害,2050.earth及相关服务中也未发现服务器遭到入侵、未经授权的数据库访问或任何其他恶意活动。攻击诱饵:虚假传真钓鱼网站是网络罪犯使用精心制作的电子邮件诱骗人们交出在线帐户凭据的一种常见方式。网络钓鱼者有时会通过冒充受信任的公司(如卡巴斯基)、应用程序或其他机构来欺骗人们,将受害者引导至特制的网络钓鱼站点,在那里他们被诱骗输入其凭据,以为这是一个合法的网络钓鱼站点。网站。Office365凭据是网络钓鱼攻击的一个非常常见的目标。例如,在3月,研究人员发现了一个针对保险和金融服务行业高管的网络钓鱼骗局,目的是获取他们的Microsoft365凭据并发起商业电子邮件妥协(BEC)攻击。发起以卡巴斯基为主题的网络钓鱼攻击的网络罪犯并未冒充卡巴斯基员工。相反,这些网络钓鱼电子邮件通常声称是“传真通知”,将目标引诱到一个虚假网站,然后获取Microsoft在线服务的凭据。这不是第一次使用古老的骗局术语“传真通知”。2020年12月,Office365证书也以相同的攻击方式遭到破坏。卡巴斯基的网络钓鱼电子邮件是从多个站点(包括亚马逊的网络服务基础设施)的各种虚假卡巴斯基URL发送的。卡巴斯基在下面提供了一个示例网络钓鱼电子邮件。分析显示,网络钓鱼活动使用了一个被卡巴斯基研究人员称为“Iamtheboss”的网络钓鱼工具包,以及另一个被称为“MIRCBOOT”的网络钓鱼工具包。钓鱼平台提供的MIRCBOOT服务BulletProofLinkMIRCBOOT这个名字听起来很耳熟,可能是因为它是微软在发现一个大规模、组织严密、复杂的网络钓鱼(Phaas)攻击平台时发现的最新钓鱼工具包之一,犯罪分子将其称为BulletProofLink。BulletProofLink是一个密钥窃取平台,提供钓鱼工具包、电子邮件模板和其他黑客工具,允许用户自定义攻击和开发自己的工具。然后,他们利用PhaaS平台提供的攻击所需的网络钓鱼工具包、电子邮件模板和托管服务。BulletProofLink上提供的MIRCBOOT和其他网络钓鱼工具包允许网络犯罪分子建立网站并购买他们发起网络钓鱼活动所需的域名,例如在本案中假装是一家安全公司的员工。本文翻译自:https://threatpost.com/office-365-phishing-campaign-kasperskys-amazon-ses-token/175915/如有转载请注明出处。
