安全厂商侦测一波网络钓鱼邮件,利用微软SharePoint避过赛门铁克邮件网关的侦测,以攻击银行业用户。
这波网络钓鱼邮件来自英国一家法律顾问公司被黑的帐号,内文佯称是一份法律文件,并包含一个连接要求银行员工前往下载。点击后用户会被导向SharePoint网站,要求用户下载一份OneNote文件。这个网站是以被黑SharePoint帐号创建。研究人员指出,黑客是利用银行客户使用的赛门铁克邮件网关,不会过滤寄自微软SharePoint的连接的机会,使客户直接暴露于恶意文件。
当用户点击并下载恶意OneNote文件后会再出现一个连接,将用户导向真正的钓鱼网页,它架在另一台被黑Web服务器之上,伪造OneDrive for Business登录入口网页以骗取用户帐密。研究人员指出,它提供被害者以Office 365帐号或其他邮件如Gmail帐号登录,这是常见搜集电子邮件帐密的手法。分析被黑服务器的文件有其他人Gmail登录帐号,显示已有其他人邮件帐号被黑。研究人员判断,这波攻击是使用BlackShop Tools打造及销售的网络钓鱼攻击组件。
黑客利用Google Drive或SharePoint来躲避安全产品过滤,得以顺利传播网络钓鱼邮件情形日渐普遍。今年稍早也有研究人员发现新式网络钓鱼手法,利用假冒来自SharePoint的电子邮件,邀请受害者扫描QR Code来打开文件。