邮箱网讯 10月26日消息 为了能快速发动攻击,黑客也有可能会利用其他人的工具,拼凑后拿来运用。例如,微软披露一起自2020年底开始网络钓鱼攻击,黑客使用名为TodayZoo的攻击组件,为了避免用户发现异状,他们使用了零点像素字体(Zero-point Font)的混淆手法,并通过假造的Microsoft 365登录网页,来骗取用户帐密。
这起攻击行动微软从2021年3月发现并进行关注,研判攻击者约从2020年12月开始行动,运用AWS的WorkMail域名(AwsApps“.”com),来发送钓鱼邮件,然后将受害者引导到假造的微软登录网页。微软也将这起事故通报了Amazon,对方也采取行动进行有关处置。
而攻击者在上述发出的钓鱼邮件的内容中,为了混淆邮件安全系统的侦测,采用了零点像素的字符串,加入用户看不到的内容,但这些文本很可能让邮件安全系统无法解析其攻击意图。所谓的零点像素字体,就是将文本的大小设置为0像素,用户无法从电子邮件的内文看到这些内容,而不会发现异状。微软指出,攻击者在早期的行动中,会在邮件的内容里,每个几个字符就使用
左半部为钓鱼邮件的源码,右半部则是邮件以HTML呈现的面貌。但在左边程序代码的Body标签的内容里,可以看到有许多的“Monday, May 24, 2021”字符串夹杂其中,而这些字符串在收信软件以HTML呈现在不会出现。如果用户没有刻意查看邮件的源码,很难发现这封信件的异状。
究竟攻击者使用了那些内容来引诱受害者上钩?微软表示,他们看到4月至5月之间,对方使用了密码重置的要求,而到了8月份,则有越来较多宣称是扫描与传真文件的接收通知。
一旦用户信以为真点击钓鱼邮件的连接,他们就会被2度重定向,最终连接到假的Microsoft 365登录网页,这个网页构建于位于主机托管企业DigitalOcean的主机上,而且与微软的网页极为相似。
比较特别的是,这个会窃取用户微软账号资料的网页,在监听到资料后,会直接存储在网站上,而非转发给其他的电子邮件。微软指出TodayZoo组件会有这样的特征,原因与以往旧版攻击组件锁定的目标有关:这原是针对Zoom视频会议用户帐密而设。
针对此起事故所出现的攻击组件,微软指出,其中大部分的框架,疑似来自名为DanceVida的攻击组件,而冒充与混淆的组件,则与5个以上的组件有所关联──这些组件是Botssoft、FLCFFood、Office-RD117、WikiRed,以及Zenfo等。微软指出,攻击者从上述组件复制程序代码的过程中,保留了原始的注记、已经失效的连接等来自其他攻击组件的特征。
RSS订阅
