APP下载

骇客发动钓鱼攻击骗取微软用户帐密,并利用看不到的字元混淆意图

消息来源:baojiabao.com 作者: 发布时间:2024-11-26

报价宝综合消息骇客发动钓鱼攻击骗取微软用户帐密,并利用看不到的字元混淆意图
图片来源: 

微软

为了能快速发动攻击,骇客也有可能会利用其他人的工具,拼凑后拿来运用。例如,微软揭露一起自2020年底开始网络钓鱼攻击,骇客使用名为TodayZoo的攻击套件,为了避免使用者察觉异状,他们使用了零点像素字体(Zero-point Font)的混淆手法,并透过假造的Microsoft 365登入网页,来骗取使用者帐密。

这起攻击行动微软从2021年3月发现并进行追踪,研判攻击者约从2020年12月开始行动,运用AWS的WorkMail网域(AwsApps[.]com),来发送钓鱼邮件,然后将受害者引导到假造的微软登入网页。微软也将这起事故通报了Amazon,对方也采取行动进行有关处置。

而攻击者在上述发出的钓鱼邮件的内容中,为了混淆邮件安全系统的侦测,采用了零点像素的字串,加入使用者看不到的内容,但这些文字很可能让邮件安全系统无法解析其攻击意图。所谓的零点像素字体,就是将文字的大小设置为0像素,使用者无法从电子邮件的内文看到这些内容,而不会发现异状。微软指出,攻击者在早期的行动中,会在邮件的内容里,每个几个字元就使用标签,加入这种使用零点像素大小的文字,内容疑似是寄件的日期。

左半部为钓鱼邮件的源代码,右半部则是邮件以HTML呈现的样貌。但在左边程式码的Body标签的内容里,可以看到有许多的“Monday, May 24, 2021”字串夹杂其中,而这些字串在收信软件以HTML呈现时不会出现。如果使用者没有刻意检视邮件的源代码,很难察觉这封信件的异状。

究竟攻击者使用了那些内容来引诱受害者上钩?微软表示,他们看到4月至5月之间,对方使用了密码重置的要求,而到了8月份,则有越来较多宣称是扫描与传真文件的接收通知。

一旦使用者信以为真点选钓鱼邮件的连结,他们就会被2度重新导向,最终连线到假的Microsoft 365登入网页,这个网页建置于位于主机代管业者DigitalOcean的主机上,而且与微软的网页极为相似。

比较特别的是,这个会窃取使用者微软账号资料的网页,在侧录到资料后,会直接储存在网站上,而非转传给其他的电子邮件。微软指出TodayZoo套件会有这样的特征,原因与过往旧版攻击套件锁定的目标有关:这原是针对Zoom视讯会议用户帐密而设。

针对此起事故所出现的攻击套件,微软指出,当中大部分的框架,疑似来自名为DanceVida的攻击套件,而冒充与混淆的元件,则与5个以上的套件有所关连──这些套件是Botssoft、FLCFFood、Office-RD117、WikiRed,以及Zenfo等。微软指出,攻击者从上述套件复制程式码的过程中,保留了原始的注记、已经失效的连结等来自其他攻击套件的特征。

2021-10-25 22:48:00

相关文章