攻击者利用虚假谷歌reCAPTCHA进行鱼叉式钓鱼攻击

Zscaler威胁研究人员发现一个新的鱼叉钓鱼活动,攻击者利用以微软为主题的鱼叉式钓鱼邮件,瞄准多个企业的高级员工。钓鱼邮件似乎是从公司内部沟通系统的鱼发送的,以诱使受害者点击查看。邮件中包含恶意的HTML附件,打开后会显示的是一个仿冒的谷歌reCAPTCHA钓鱼页面。

reCAPTCHA验证之后,受害者会被重定向到攻击者精心制作的虚假的微软登录钓鱼页面。该钓鱼网站在受害者输入登录凭据后,会显示一条“验证成功”的虚假提示,以增加其可信度。钓鱼页面托管在使用.xyz、.club和.online通用顶级域名的页面上。

钓鱼活动详情

 

在使用.xyz顶级域名的钓鱼活动中,攻击者发送来自统一通信系统的垃圾邮件,邮件中包含恶意的HTML附件,如下所示:

图1. 包含HTML附件的垃圾邮件

下图显示了内嵌server[.]mvmail365office[.]xyz网络钓鱼URL的HTML文件的源代码:

图2. HTML附件的源代码

受害者一旦打开HTML附件,将被重定向到伪装成合法的谷歌reCAPTCHA页面的.xyz钓鱼页面。

图3. 虚假的谷歌reCAPTCHA页面

图4. 虚假的谷歌reCAPTCHA页面源代码

谷歌reCAPTCHA验证后,会将用户重定向到伪造的微软登录钓鱼页面。

图5. 虚假的微软登录页面

图6. 微软登录钓鱼页面的源代码

在受害者输入登录凭据后,该钓鱼页面将弹出一条“验证成功”虚假消息”,之后会显示一条可以播放的语音邮件,以降低用户的警戒心。

图7. 虚假的微软账户验证页面

图8. Fiddler中捕获的感染流量

图9. 虚假的语音消息

图10. 此次网络钓鱼活动的整体Web流量

总结

在过去的三个月时间内,Zscaler云安全平台阻止了超过2500次,使用(.xyz、.club、.online)通用顶级域名托管微软主题的钓鱼页面的攻击活动。此次攻击活动主要针对医疗、政府、IT、银行和教育等行业。