[[378111]]

Check Point Research與來(lái)自網(wǎng)絡(luò)安全公司Otorio的專(zhuān)家針對(duì)數(shù)千個(gè)全球組織的大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)進(jìn)行了詳細(xì)的調(diào)查，并分析了調(diào)查的詳細(xì)信息。

該活動(dòng)自8月以來(lái)一直處于活躍狀態(tài)，攻擊者使用偽裝成Xerox掃描通知的電子郵件，敦促收件人打開(kāi)惡意HTML附件。這一操作使攻擊者可以繞過(guò)Microsoft Office 365高級(jí)威脅防護(hù)(ATP)過(guò)濾，并成功地收集到了超過(guò)一千條Office 365企業(yè)賬號(hào)的登錄憑證。

專(zhuān)家注意到，網(wǎng)絡(luò)釣魚(yú)活動(dòng)背后的網(wǎng)絡(luò)犯罪分子主要針對(duì)能源和建筑公司，但他們不小心暴露了在攻擊中被盜的憑證，這些攻擊可通過(guò)簡(jiǎn)單的Google搜索進(jìn)行訪問(wèn)。

針對(duì)建筑和能源行業(yè)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)的攻擊者暴露了在攻擊中被盜的用戶密碼憑證，這些憑證可以通過(guò)簡(jiǎn)單的Google搜索公開(kāi)訪問(wèn)。

“有趣的是，網(wǎng)絡(luò)釣魚(yú)攻擊者將他們竊取到的信息存儲(chǔ)在了一個(gè)專(zhuān)門(mén)為這一次網(wǎng)絡(luò)釣魚(yú)活動(dòng)而注冊(cè)的域名之中，但由于其攻擊鏈中的一個(gè)簡(jiǎn)單錯(cuò)誤，他們將這些數(shù)據(jù)存儲(chǔ)在了一個(gè)公開(kāi)可見(jiàn)可訪問(wèn)的文件之中，并且還被谷歌搜索引擎收錄并建立了索引。通過(guò)簡(jiǎn)單的Google搜索，任何人都可以找到一個(gè)被盜的電子郵件地址的密碼：這是給每一個(gè)機(jī)會(huì)主義攻擊者的禮物。” Check Point發(fā)布的帖子中這樣寫(xiě)道。

一旦受害者雙擊HTML文件，瀏覽器中就會(huì)打開(kāi)一個(gè)模糊的圖像，其中包含一封預(yù)先配置好的電子郵件。

啟動(dòng)HTML文件后，將在后臺(tái)執(zhí)行JavaScript代碼，它將收集密碼，將數(shù)據(jù)發(fā)送到攻擊者的服務(wù)器，然后將用戶重定向到合法的Office 365登錄頁(yè)面來(lái)分散用戶的注意力。

網(wǎng)絡(luò)釣魚(yú)者使用了獨(dú)特的基礎(chǔ)結(jié)構(gòu)和受損的WordPress網(wǎng)站來(lái)存儲(chǔ)被盜的數(shù)據(jù)。

“我們發(fā)現(xiàn)攻擊者還入侵了幾臺(tái)合法的WordPress服務(wù)器以托管惡意PHP頁(yè)面(名為“ go.php”，“ post.php”，“ gate.php”，“ rent.php”或“ rest.php”)，并處理了所有傳入的網(wǎng)絡(luò)釣魚(yú)攻擊受害者的憑證。” 帖子繼續(xù)寫(xiě)道。

“由于現(xiàn)有網(wǎng)站的知名度太高，攻擊者通常更喜歡選擇去入侵這些網(wǎng)站服務(wù)器來(lái)實(shí)施網(wǎng)絡(luò)釣魚(yú)攻擊，而不太會(huì)選擇使用自己搭建的基礎(chǔ)設(shè)施。知名度越高，則電子郵件不會(huì)被安全廠商阻止的可能性就越大。”

電子郵件是從托管在Microsoft Azure上的Linux服務(wù)器發(fā)送的，他們通常使用PHP Mailer 6.1.5，并通過(guò)1&1電子郵件服務(wù)器進(jìn)行發(fā)送。

攻擊者還通過(guò)受感染的電子郵件帳戶發(fā)送了垃圾郵件，以使這些郵件似乎來(lái)自合法來(lái)源。

發(fā)送到放置區(qū)服務(wù)器的數(shù)據(jù)被保存在Google可以索引的公開(kāi)可見(jiàn)文件中。這意味著只要進(jìn)行簡(jiǎn)單的Google搜索，任何人都可以訪問(wèn)它們。

對(duì)大約500個(gè)被盜憑證的子集進(jìn)行的分析顯示，受害者來(lái)自各種目標(biāo)行業(yè)，包括IT、醫(yī)療保健、房地產(chǎn)和制造業(yè)。

Check Point與Google分享了調(diào)查結(jié)果。

專(zhuān)家注意到，此活動(dòng)中使用的JavaScript編碼與2020年5月以后的另一個(gè)網(wǎng)絡(luò)釣魚(yú)活動(dòng)中使用的編碼相同，這種情況表明兩個(gè)活動(dòng)的幕后攻擊者可能是同一組織。

該報(bào)告還包括妥協(xié)的指標(biāo)(IoC)。

本文翻譯自：https://securityaffairs.co/wordpress/113705/hacking/phishing-stolen-pwd-google-search.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。