新型釣魚手法結合微軟「Dynamics」平台 輕鬆繞過資安防線

記者孫敬／編譯

近期資安分析師Anurag發現一項鎖定Gmail用戶的釣魚攻擊手法，駭客利用微軟合法的Dynamics行銷平台作為基礎設施，並結合多層次的攻擊手法，成功繞過現有的安全防護，旨在竊取用戶的登入憑證與多重認證代碼。

延伸閱讀：Microsoft Store政策大改動 已移除「永久暫停應用程式更新」功能

「語音信箱通知」為誘餌，偽造CAPTCHA頁面取信於人

這波攻擊始於一封看似來自合法語音信箱服務的「新語音通知」電子郵件，這些信件不僅偽造寄件人資訊，還附有一個顯眼的「收聽語音留言」按鈕，當受害者點擊惡意連結後，會被導向一系列複雜的跳轉網站。

駭客最狡猾的地方在於，他們利用微軟官方的Dynamics行銷平台來代管第一階段的攻擊。這項技術提供了即時的合法性，並能輕鬆躲避通常會標記可疑網域的電子郵件安全過濾器。

點擊惡意連結後，受害者會先被導向至horkyrown[.]com（在巴基斯坦註冊的網域），一個偽裝成CAPTCHA驗證碼的網頁。這個驗證碼讓用戶誤以為這是正常的安全措施，但實際上，它正是攻擊基礎設施的一部分。

偷走的不只帳密，連雙重認證都一併盜取

攻擊的最後階段，會呈現一個與Gmail登入頁面像素級完全相同的偽造頁面，這個頁面不僅完美複製了Google的品牌標誌與介面元素，還能竊取用戶的主帳號與密碼，甚至連雙重認證碼、備用碼和安全問題等高階資安資訊，也都能一併盜取。

Anurag隨後觀察發現，這個偽造的登入頁面背後的惡意JavaScript程式碼，使用了複雜的混淆技術與AES加密來隱藏其真實功能，甚至包含反偵測功能。如果用戶開啟開發者工具進行除錯，頁面會自動將用戶重新導向至Google的真實登入頁面，藉此躲避追蹤。

資料來源：Cyber Security News