当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。2015年,她成为历史上在位时间最长的英国君主,打破了她的曾曾祖母维多利亚女王创下的纪录。
各国政府纷纷对此表示哀悼,女王的葬礼后续事宜也在按照以往的规格和节奏有序进行。9月15日,英国伦敦深夜举行女王伊丽莎白二世葬礼彩排,并将于19日为女王举行隆重的国葬仪式。
假借悼念之名,行网络攻击之实
就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。
攻击者实施网络钓鱼攻击的具体做法是,向用户发送一封带有恶意链接的电子邮件,内容如下图所示:
邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。
很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。
EvilProxy一键反向代理
值得注意的是,在此次网络钓鱼攻击中,安全研究人员观察到不少攻击者正在使用EvilProxy一键反向代理和Cookie 注入,以此绕过2FA 身份验证。关于EvilProxy反向代理服务的具体内容,FreeBuf在 (EvilProxy文章) 进行了说明。
事实上,安全研究人员并非首次观察到此类攻击方式,在以往的APT和针对性间谍活动中也曾多次出现。而随着EvilProxy将这类功能逐渐产品化,那么未来针对在线服务和MFA授权机制的攻击将会迎来较高的增长。
EvilProxy首次出现在安全人员的视野是在2022年5月上旬,当时其背后的攻击组织发布了一段演示视频,详细介绍了该工具是如何提供高级网络钓鱼攻击服务,并声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。
其原理较为简单,攻击将受害者引导至网络钓鱼页面,使用反向代理获取用户期望的所有合法内容,包括登录页面——当流量通过代理时,它会进行嗅探。通过这种方式,攻击者可以获取有效的会话 cookie 并绕过用户名、密码、2FA令牌进行身份验证等操作,从而实现访问目标账户。
EvilProxy服务承诺窃取用户名、密码和会话cookie,费用为150美元(10天)、250美元(20 天)或400美元(30天)。而针对Google帐户攻击的使用费用更高,为 250/450/600 美元。Resecurity还在社交平台上演示了,EvilProxy是如何针对Google帐户发起网络钓鱼攻击。
参考来源
https://securityaffairs.co/wordpress/135764/cyber-crime/queen-elizabeth-ii-phishing.html