Check Point Research来自网络安全公司Otorio专家对全球数千个组织的大规模网络钓鱼活动进行了详细调查,并分析了调查的详细信息。
该活动自8月以来一直活跃,攻击者伪装成Xerox扫描通知的电子邮件,敦促收件人打开恶意邮件HTML附件Microsoft Office 365高级威胁防护(ATP)成功收集了1000多个过滤器Office 365企业账号的登录凭证。
专家指出,网络钓鱼活动背后的网络犯罪分子主要针对能源和建筑公司,但他们不小心暴露了攻击中被盗的凭证,可以简单地进行Google搜索进行访问。
对于建筑和能源行业的网络钓鱼活动,攻击者暴露了攻击中被盗的用户密码凭证,可以简单地使用Google搜索公开访问。
“有趣的是,网络钓鱼攻击者将他们窃取的信息存储在一个专门为网络钓鱼活动注册的域名中。然而,由于攻击链中的一个简单错误,他们将这些数据存储在一个公开可见可访问的文件中,并被谷歌搜索引擎收录并建立索引。通过简单Google搜索时,任何人都可以找到被盗电子邮件地址的密码:这是每个机会主义攻击者的礼物。” Check Point发布的帖子是这样写的。
一旦受害者双击HTML在浏览器中打开一个模糊的图像,包含一封预先配置的电子邮件。
启动HTML文件完成后,将在后台执行JavaScript代码,它将收集密码,将数据发送到攻击者的服务器,然后将用户重新定位为法律Office 365登录页面分散用户注意力。
网络渔民使用独特的基础设施和损坏WordPress存储被盗数据的网站。
“我们发现攻击者也入侵了几个合法的WordPress恶意托管服务器PHP页面(名为“ go.php”,“ post.php”,“ gate.php”,“ rent.php”或“ rest.php”),并处理了所有传入网络钓鱼攻击受害者的凭证。” 帖子继续写道。
“由于现有网站的知名度过高,攻击者通常更喜欢入侵这些网站服务器进行网络钓鱼攻击,而不是使用自己的基础设施。人气越高,安全制造商就越有可能阻止电子邮件。”
电子邮件来自托管Microsoft Azure上的Linux他们通常使用服务器PHP Mailer 6.1.5,并通过1&1发送电子邮件服务器。
攻击者还通过受感染的电子邮件帐户发送了垃圾邮件,以使这些邮件似乎来自合法来源。
保存了发送到放置区服务器的数据Google可索引的公开可见文件。这意味着只要简单Google任何人都可以访问搜索。
根据对大约500张被盗凭证子集的分析,受害者来自各种目标行业,包括IT、医疗保健、房地产和制造业。
Check Point与Google分享调查结果。
专家注意到,该活动被使用JavaScript编码与2020年5月以后另一次网络钓鱼活动中使用的编码相同,说明两次活动的幕后攻击者可能是同一组织。
该报告还包括妥协指标(IoC)。
本文翻译自:https://securityaffairs.co/wordpress/113705/hacking/phishing-stolen-pwd-google-search.html若转载,请注明原文地址。