网络钓鱼者使用伪造的Office 365密码过期报告来锁定C-Suite
2021-01-26 17:13:53 【

根据反恶意软件供应商趋势科技的警告,一个正在进行的网络钓鱼活动提供了虚假的Office 365密码到期报告,迄今为止,该网络已经成功入侵了数十个C-Suite电子邮件帐户。


该运动针对金融,政府,制造业,房地产和技术领域的组织,已在日本,美国,英国,加拿大,澳大利亚和几个欧洲国家造成受害者。


迄今为止,已识别出300多个独特的受害URL,以及来自八个网站的70个电子邮件地址。网络钓鱼者能够破坏CEO,董事,公司创始人,所有者以及其他企业员工的40个合法电子邮件地址。


作为诱饵,攻击者使用了虚假的Office 365密码过期报告,要求受害者单击嵌入式链接,据称该链接允许他们继续使用相同的密码。但是,一旦潜在的受害者单击“保留密码”选项,他们就会被带到网络钓鱼页面。


受损的基础架构和被盗的凭据被滥用来托管网络钓鱼页面并针对更多受害者。


作为攻击的一部分,黑客使用了去年首次详细描述的网络钓鱼工具,该工具被用于利用假冒Microsoft登录页面的类似攻击中。该工具包可供购买,可让网络罪犯验证被盗的凭证。


趋势科技还发现,网络罪犯正在发布CEO,首席财务官(CFO)和财务部门员工等人的Office 365帐户的失窃凭据。


这些帖子在多个讲英语和俄语的论坛中看到,包括一个地下论坛,看上去与另一个用户的广告相匹配。值得注意的是,讲俄语的论坛上的所有帖子都是用英语完成的,并使用了最近注册的帐户。”趋势科技 在博客中解释道。


此活动中的大多数网络钓鱼电子邮件都是使用FireVPS的虚拟专用服务器(VPS)发送的,该公司为客户提供各种Windows远程桌面协议(RDP)计划。


趋势科技表示,他们曾向公司发出网络钓鱼活动中滥用其服务的警报,但尚未得到回复。


网络钓鱼套件似乎是类似工具套件的演进,它还包括IP地址范围和域名的广泛列表,旨在阻止安全公司和大型云提供商访问,可能是为了逃避检测。


网络钓鱼工具包的开发人员正在社交媒体网站上积极宣传该创作,并从事被盗凭证的销售。趋势科技最终能够将开发人员的业务Facebook页面与个人页面链接,并且已经向有关部门提供了有关此问题的详细信息。


趋势科技还将在该活动中滥用的网站与其他网络钓鱼攻击相关联,其中包括专门针对美国公司首席执行官,总裁和创始人的网络钓鱼攻击。另一个活动针对加拿大,以色列,匈牙利,荷兰,英国和美国的董事和经理。


美国CEO的电子邮件地址显然是此活动的主要目标,而其他人则使用相同的网络钓鱼工具。此类电子邮件使攻击者可以进行进一步的网络钓鱼,破坏敏感信息以及进行商业电子邮件泄露(BEC)和其他社会工程攻击。


网络钓鱼攻击和攻击者通常以员工为目标-通常是组织安全链中最薄弱的环节。[…]通过有选择地针对C级员工,攻击者可以大大提高获得的凭据的价值,因为它们可能导致进一步访问敏感的个人和组织信息,并用于其他攻击。”趋势科技总结道。


】【打印关闭】 【返回顶部
上一篇没有了 下一篇Windows远程桌面服务器现在用于放..