利用Azure Blob存储对Outlook和Microsoft的用户进行钓鱼攻击

iso60001  2117天前

22.png

近期,有研究人员发现了两股正活跃的的网络钓鱼攻击,其中涉及微软的Azure Blob。在这两股钓鱼活动中,攻击者使用了很逼真的钓鱼登录页面,拥有SSL证书以及Windows的域名。

这些钓鱼活动是由安全公司Edgewave的研究人员发现的。

第一种电子邮件钓鱼活动会要求收件人登录到他们的Office 365帐户以更新信息。这类钓鱼邮件的主题为“Action Required: [email_Address] information is outdated - Re-validate now!!”。

33.png

一旦用户点击邮件中的链接时,就会跳转到一个登录页面,看起来像某组织的Outlook应用。该钓鱼页面主要是用于窃取用户的电子邮件凭据。

44.png

第二种钓鱼活动会尝试窃取用户的Microsoft帐户凭据。这类钓鱼邮件看起来可能有点奇怪,因为它会显示Facebook的Workplace,但却把受害者导向一个微软的登陆页面。这可能是攻击者采用统一的钓鱼模板,没有更改细节导致的。

55.png

如果用户单击钓鱼邮件中的链接,就会被重定向到一个很真实的Microsoft帐户登录页面。

66.png

以上两类钓鱼登录页面都使用了Azure Blob存储,这也使得这些网络钓鱼登录页面更具说服力。

Azure Blob存储

对于钓鱼攻击者来说,使用Microsoft的Azure Blob存储托管钓鱼登录页面的一个好处是,钓鱼页面能使用Microsoft下的windows.net域名,这使得钓鱼页面看起来合法。例如,一个现已失效的网络钓鱼URL为https://1drive6e1lj8tcmteh5m.z6.web.core.windows.net/。对于许多用户来说,这是一个是很权威的域名。

另一个好处是,Azure Blob存储上的每个页面的URL都使用来自Microsoft的SSL证书,如下所示:

77.png

如果用户点击钓鱼网站的证书查看签名,它会显示这是一个微软的证书,看起来这就是微软旗下的合法网站。

所有用户应密切检查网站登录URL中的可疑的域名,windows.net域名是完全不可靠的。对于Microsoft和Outlook.com登录,请务必记住,登录表单一定来自Microsoft.com、Live.com和Outlook.com域名。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/outlook-and-microsoft-account-phishing-emails-utilize-azure-blob-storage/

最新评论

昵称
邮箱
提交评论