网络钓鱼活动通过实时验证受害者邮箱，精准实施凭证盗窃

网络安全研究人员正在关注一种新型的凭证网络钓鱼计划，该计划确保被盗信息与有效的在线账户相关联。

这种技术被Cofense命名为“精准验证网络钓鱼”，它采用实时电子邮件验证，以便只有经过筛选的高价值目标才会看到伪造的登录页面。

“这种策略不仅使攻击者在获取可用凭证方面成功率更高，因为他们只针对特定的、预先收集的、有效的电子邮件账户列表进行攻击，”该公司表示。

与通常通过大量发送垃圾邮件以随机获取受害者登录信息的“广撒网”凭证收集活动不同，最新的攻击策略将鱼叉式网络钓鱼提升到了一个新的水平，只与攻击者已验证为活跃、合法且高价值的电子邮件地址进行互动。

在这种情况下，受害者在钓鱼落地页面输入的电子邮件地址会与攻击者的数据库进行验证，之后才会显示伪造的登录页面。如果电子邮件地址不在数据库中，页面要么返回错误，要么将用户重定向到像维基百科这样的无害页面，以逃避安全分析。

通过将基于API或JavaScript的验证服务集成到钓鱼工具包中，该服务会在进入密码捕获步骤之前确认电子邮件地址，从而完成这些检查。

“这提高了攻击的效率，以及被盗凭证属于真实、活跃使用的账户的可能性，从而提高了收集到的数据的质量，以便转售或进一步利用，”Cofense表示。

“自动化安全爬虫和沙箱环境也难以分析这些攻击，因为它们无法绕过验证过滤器。这种针对性的方法降低了攻击者的风险，并延长了钓鱼活动的生命周期。”

随着网络安全公司还披露了一项使用文件删除提醒作为诱饵以获取凭证并传播恶意软件的电子邮件钓鱼活动的细节，这一发展也随之而来。

这种双管齐下的攻击利用了一个嵌入式URL，该URL似乎指向一个计划从名为files.fm的合法文件存储服务中删除的PDF文件。如果消息接收者点击链接，他们将被带到一个合法的files.fm链接，从那里他们可以下载所谓的PDF文件。

然而，当PDF文件被打开时，用户会被提供两个选项，要么预览文件，要么下载文件。选择预览的用户会被带到一个伪造的微软登录页面，该页面旨在窃取他们的凭证。而选择下载选项时，它会释放一个声称是微软OneDrive的可执行文件，但实际上是从ConnectWise的ScreenConnect远程桌面软件。

“这几乎就像是攻击者故意设计攻击来诱捕用户，迫使他们选择他们将落入哪种‘陷阱’，”Cofense表示。“两种选择都导致了相同的结果，目标相似，但实现目标的方式不同。”

这一发现也紧随一项复杂的多阶段攻击的发现之后，该攻击结合了语音钓鱼（vishing）、远程访问工具和利用现有系统资源（living-off-the-land）技术来获取初始访问权限并建立持久性。在活动中观察到的攻击手法与被追踪为Storm-1811（又名STAC5777）的攻击集群一致。

“攻击者利用暴露的通信渠道，通过Microsoft Teams消息传递恶意PowerShell负载，随后使用Quick Assist远程访问环境，”Ontinue表示。“这导致了签名二进制文件（例如TeamViewer.exe）的部署、一个侧加载的恶意DLL（TV.dll），最终通过Node.js执行基于JavaScript的C2后门。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；