罪犯通过伪造卡巴斯基的电子邮件地址来窃取鱼叉攻击Office 365凭证。
尽管钓鱼邮件来自于周一发布的一份公告noreply@sm.kaspersky.com 等发件人的地址,但卡巴斯基肯定没有人发过这些钓鱼邮件。相反,这些邮件使用卡巴斯基合法的亚马逊简单电子邮件服务(SES)发送令牌。
亚马逊SES它是一种可扩展的电子邮件服务,允许开发者在任何应用场景中发送电子邮件,如营销或大规模电子邮件通信。
根据卡巴斯基的解释,访问令牌正在测试网站2050.earth时分发给第三方承包商的。2050.earth该网站是卡巴斯基的一个项目,它有一张互动地图,学家和其他人可以使用它来猜测未来几十年地球会发生什么。该网站托管在亚马逊的基础设施上。
卡巴斯基说,正在发现它所说的Office 365凭证鱼叉攻击频率大幅上升后,这些攻击很可能来自多个威胁攻击者,然后安全人员对其进行攻击SES令牌立即撤销。
根据官方内容,钓鱼攻击没有造成任何损失,在2050.earth未发现服务器损坏、未经授权的数据库访问或其他恶意活动。
攻击诱饵:虚假传真
钓鱼网站是网络犯罪分子通过精心设计电子邮件欺骗人们并让他们交出在线账户凭证的常见方式。钓鱼攻击者有时会通过假装信任的公司(如卡巴斯基)、应用程序或其他机构欺骗人们,引导受害者进入特殊的钓鱼网站,欺骗他们输入凭证,让他们认为这是一个合法的网站。
Office 365证书是在线钓鱼攻击的一个非常常见的攻击目标。例如,今年3月,研究人员发现了一个专门攻击保险和金融服务行业高管的在线钓鱼骗局,旨在获得他们的微软365证书,并发起商业电子邮件泄露(BEC)攻击。
以卡巴斯基为主题的网络犯罪分子并没有冒充卡巴斯基。相反,这些钓鱼邮件通常声称是 "传真通知",引诱目标进入虚假网站,然后获得微软在线服务凭证。这已经不是第一次使用 了"传真通知 "这个古老的诈骗术语。2020年12月,Office 365证书也以同样的方式受到攻击。
卡巴斯基的钓鱼邮件来自包括亚马逊网络服务基础设施在内的各种虚假卡巴斯基网站。
卡巴斯基提供了以下钓鱼邮件样本。
分析显示,这些网络钓鱼活动被卡巴斯基研究人员称为 "Iamtheboss "网络钓鱼工具包,另一个叫 "MIRCBOOT "网络钓鱼工具包。
钓鱼平台BulletProofLink提供的MIRCBOOT服务
MIRCBOOT这个名字可能听起来很熟悉,也许是因为它是微软最近发现的在线钓鱼工具包之一,微软发现了一个大规模、有组织和复杂的在线钓鱼(PhaaS)犯罪分子称攻击平台为攻击平台BulletProofLink。
BulletProofLink该平台提供钓鱼工具包、电子邮件模板等黑客工具,让用户定制攻击活动,开发自己的工具。然后他们使用它PhaaS攻击平台提供的钓鱼工具包、电子邮件模板和攻击所需的托管服务。
MIRCBOOT和BulletProofLink其他提供的其他在线钓鱼工具包允许网络犯罪分子建立网站,购买他们需要的域名来启动在线钓鱼攻击活动,比如假装公司的员工,就像在这种情况下一样。
本文翻译自:https://threatpost.com/office-365-phishing-campaign-kasperskys-amazon-ses-token/175915/如果转载,请注明原始地址。