新型技术支持诈骗利用微软Logo窃取用户凭证
微软的名称和品牌长期以来一直与计算、安全和创新领域的信任相关联。然而Cofense网络钓鱼防御中心最新发现的攻击活动表明,即使是最知名的Logo也可能被威胁行为者劫持,以利用用户信任。
通过将经典的社会工程学策略与高级欺骗性覆盖层相结合,这种骗局不仅收集登录凭证,还诱导受害者拨打欺诈性支持热线——为攻击者提供直接远程访问权限。
攻击流程分析
初始感染阶段
攻击从一封看似无害的电子邮件开始,声称来自虚构的"Syria Rent a Car"公司的付款通知。
实际上,“付款诱饵"是一种诡计,旨在激起收件人的好奇心并促使他们点击嵌入链接。一旦点击,用户会遇到设计得看似合法的伪造验证码挑战。
技术规避手段
此步骤具有双重目的:既让受害者相信他们正在与可信服务交互,又阻止自动扫描器标记该页面。在"通过"验证码后,毫无戒心的用户会再次被重定向到骗局的核心部分。
伪造勒索软件体验
与悄悄捕获凭证的典型网络钓鱼方案不同,此活动通过模拟浏览器锁定来升级欺骗手段。
受害者发现他们的光标被固定,多个类似微软安全警报的弹窗充斥屏幕,还有紧急消息声称系统已被入侵。这种强制失去控制的行为模仿了勒索软件行为,制造恐慌和紧迫感。
实际上,只需按下ESC键即可恢复控制,但令人震惊的视觉效果和重复出现的微软Logo使用户相信他们唯一的求助方式是通过 prominently显示的电话号码联系"微软支持”。
电话社会工程学
当受害者拨打欺诈性支持号码时,他们会与冒充微软技术人员的攻击者联系。在此阶段,攻击者采用高压策略——要求提供账户凭证或说服用户安装远程桌面软件。
安装远程访问工具后,威胁行为者可以渗透网络、窃取数据、部署恶意软件或转向更关键的系统。
技术指标和观察到的URL
Cofense的分析识别了多个感染和有效负载URL。初始链接包括:
- hxxps://alphadogprinting[.]com/index.php?8jl9lz
- 托管在amormc[.]com上的变体,解析到IP地址如107[.]180[.]26[.]155和184[.]168[.]97[.]153
后续有效负载阶段从以下域名提供登录页面:
- toruftuiov[.]com
- highbourg[.]my[.]id
所有这些都映射到各种Cloudflare IP(104[.]21.32.1、104[.]21.112.1等)和端点,如18[.]160.41.101。这些技术指标可以帮助防御者阻止恶意流量并识别企业网络中的受感染客户端。
防御建议
此活动强调了分层防御和持续安全意识培训的必要性:
- 电子邮件过滤:实施检查已知网络钓鱼域和发件人信息异常的链接的电子邮件过滤
- 用户教育:必须强调对未经请求的付款通知持怀疑态度,即使是在知名品牌下呈现
- 端点安全:能够检测异常浏览器行为(如模拟锁屏)的端点安全解决方案可以在用户升级到呼叫欺诈性支持之前发出警报
- 事件响应:维护最新的事件响应手册,包括验证合法支持渠道的程序,可以防止受害者无意中交出凭证或远程访问
结论
在此骗局中微软Logo的武器化突显了一个严峻现实:品牌认知可能被利用来绕过用户的防御。通过结合付款诱饵、虚假验证码、欺骗性UI覆盖层和基于电话的社会工程学,攻击者创建了一个多层陷阱,利用信任和紧迫感进行攻击。警惕仍然是最有效的防御。
安全团队和最终用户都必须质疑意外提示,通过官方渠道验证支持联系人,并依靠全面的安全态势在复杂的网络钓鱼活动面前保持领先一步。