利用Azure Blob存储对Outlook和Microsoft的用户进行钓鱼攻击

近期，有研究人员发现了两股正活跃的的网络钓鱼攻击，其中涉及微软的Azure Blob。在这两股钓鱼活动中，攻击者使用了很逼真的钓鱼登录页面，拥有SSL证书以及Windows的域名。

这些钓鱼活动是由安全公司Edgewave的研究人员发现的。

第一种电子邮件钓鱼活动会要求收件人登录到他们的Office 365帐户以更新信息。这类钓鱼邮件的主题为“Action Required: [email_Address] information is outdated - Re-validate now!!”。

一旦用户点击邮件中的链接时，就会跳转到一个登录页面，看起来像某组织的Outlook应用。该钓鱼页面主要是用于窃取用户的电子邮件凭据。

第二种钓鱼活动会尝试窃取用户的Microsoft帐户凭据。这类钓鱼邮件看起来可能有点奇怪，因为它会显示Facebook的Workplace，但却把受害者导向一个微软的登陆页面。这可能是攻击者采用统一的钓鱼模板，没有更改细节导致的。

如果用户单击钓鱼邮件中的链接，就会被重定向到一个很真实的Microsoft帐户登录页面。

以上两类钓鱼登录页面都使用了Azure Blob存储，这也使得这些网络钓鱼登录页面更具说服力。

Azure Blob存储

对于钓鱼攻击者来说，使用Microsoft的Azure Blob存储托管钓鱼登录页面的一个好处是，钓鱼页面能使用Microsoft下的windows.net域名，这使得钓鱼页面看起来合法。例如，一个现已失效的网络钓鱼URL为https://1drive6e1lj8tcmteh5m.z6.web.core.windows.net/。对于许多用户来说，这是一个是很权威的域名。

另一个好处是，Azure Blob存储上的每个页面的URL都使用来自Microsoft的SSL证书，如下所示：

如果用户点击钓鱼网站的证书查看签名，它会显示这是一个微软的证书，看起来这就是微软旗下的合法网站。

所有用户应密切检查网站登录URL中的可疑的域名，windows.net域名是完全不可靠的。对于Microsoft和Outlook.com登录，请务必记住，登录表单一定来自Microsoft.com、Live.com和Outlook.com域名。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/outlook-and-microsoft-account-phishing-emails-utilize-azure-blob-storage/