微软 Teams 已经成了黑客社工的“最佳载体”？

一项新的最佳载体社会工程活动显示 ，大量攻击者利用微软Teams作为部署已知恶意软件DarkGate的微软手段 。Trend Micro研究人员Catherine Loveria
、经成Jovit Samaniego和Gabriel Nicoleta表示，黑客“攻击者通过微软Teams电话进行社会工程
，社工冒充用户的最佳载体客户并获得远程访问他们系统的权利。攻击者未能安装微软远程支持应用程序 ，微软但成功指示受害者下载AnyDesk，经成这是黑客一种常用于远程访问的工具。”

据网络安全公司Rapid7最近的社工报告，源码库攻击者向目标的最佳载体电子邮箱发送数千封邮件
，然后通过微软Teams假装成外部供应商的微软员工接触目标 。随后攻击者指示受害者在其系统上安装AnyDesk，经成远程访问随后被用于传送多个负载，黑客包括凭据窃取工具和DarkGate恶意软件 。社工

自2018年以来一直活跃的DarkGate是一种远程访问木马（RAT），后来演变为一种恶意软件即服务（MaaS）产品
，其多种功能包括凭据窃取、键盘记录
、屏幕捕捉 、音频录制和远程桌面 。过去一年针对DarkGate活动的亿华云分析表明 
，该恶意软件已通过使用AutoIt和AutoHotKey两条不同的攻击链进行分发 。在Trend Micro检查的事件中，恶意软件可通过一个名为AutoIt脚本进行部署。

虽然在任何数据外泄活动发生之前攻击已被阻止  ，但这些发现表明攻击者如何使用多种初始访问途径传播恶意软件。因此安全专家建议组织启用多因素身份验证（MFA）、将批准的远程访问工具列入白名单 、阻止未验证的应用程序，并彻底审核第三方技术支持提供商以消除语音钓鱼风险。

该事态进展正值各类网络钓鱼活动激增之时，这些活动利用各种诱惑和技巧欺骗受害者对信息进行泄露 ：

一个大规模的高防服务器YouTube定向活动中，假装成知名品牌，通过电子邮件联系内容创作者 ，试图进行潜在的推广 、合作提案和市场合作 
，并敦促他们点击链接签署协议，部署Lumma Stealer。

一场利用附带PDF文件的网络钓鱼邮件的活动，该PDF内含有一个二维码，用户扫描后会被引导到一个假的Microsoft 365登录页面以窃取凭据。

利用Cloudflare Pages和Workers的信任设置假网站，建站模板模仿Microsoft 365的登录页面和假的CAPTCHA验证，号称为查看或下载文档。

使用HTML电子邮件附件伪装成合法文档如发票或人力资源政策但含有嵌入的JavaScript代码
，以执行恶意操作如引导用户访问钓鱼网站 、窃取凭据，以及在修复错误的名义下诱使用户运行任意命令 。

利用可靠平台如Docusign 、Adobe InDesign和Google Accelerated Mobile Pages (AMP)的电子邮件网络钓鱼活动 ，诱骗用户点击旨在窃取其凭据的恶意链接。

声称来自Okta支持团队的免费模板网络钓鱼企图 ，以获取用户凭据并入侵组织系统。

针对印度用户的网络钓鱼信息通过WhatsApp分发，指示接收者安装恶意银行或用于Android设备的实用程序应用程序，能够窃取财务信息。攻击者也往往迅速利用全球事件 ，将其纳入到他们的网络钓鱼活动中 ，通常抓住紧迫性和情感反应操作受害者，诱使他们执行意外操作。这些活动还伴随有域名注册 ，使用与事件相关的关键词。

“备受瞩目的云计算全球事件，包括体育锦标赛和产品发布 ，会吸引网络罪犯试图利用公众的兴趣 ，”Palo Alto Networks Unit 42表示，“这些罪犯注册欺骗性域名模仿官方网站 ，以出售假冒商品和提供欺诈服务。”

很赞哦!（7）