钓鱼网站使用卡巴斯基的SES令牌进行攻击

犯罪分子通过伪造卡巴斯基的电子邮件地址进行鱼叉式攻击来窃取Office 365凭证。

该安全公司在周一发布的一份公告中说，尽管钓鱼邮件是来自noreply@sm.kaspersky.com 等发件人的地址，但卡巴斯基确定没有人发送过这些钓鱼邮件。相反，这些邮件是用卡巴斯基合法的亚马逊简易电子邮件服务（SES）令牌发送的。

亚马逊SES是一种可扩展的电子邮件服务，它允许开发者在营销或大规模电子邮件通信等任何应用场景发送邮件。

根据卡巴斯基的解释，这个访问令牌是在测试网站2050.earth时分发给第三方承包商的。2050.earth网站是卡巴斯基的一个项目，它有一个互动地图，未来学家和其他人可以使用该地图推测未来几十年地球会发生什么。并且该网站托管在亚马逊的基础设施上。

卡巴斯基说，在发现它所说的Office 365凭证鱼叉式攻击频率大幅上升后，这些攻击很可能是来自多个威胁攻击者，之后安全人员对SES令牌立即进行了撤销。

根据官方发布的内容，这次钓鱼攻击没有造成任何损失，在2050.earth和相关服务中没有发现服务器被破坏、未经授权的数据库访问或任何其他恶意活动。

攻击诱饵：虚假的传真

钓鱼网站是网络犯罪分子通过精心设计电子邮件来欺骗人们，并且让他们交出在线账户的凭据的一种常见方式。钓鱼攻击者有时会通过冒充受信任的公司（如卡巴斯基）、应用程序或其他机构来欺骗人们，将受害者引导到专门制作的钓鱼网站内，欺骗他们输入凭据，让他们以为这是个合法的网站。

Office 365凭证是网络钓鱼攻击的一个很常见的攻击目标。例如，今年3月，研究人员就发现了一个专门针对保险和金融服务行业高管进行攻击的网络钓鱼骗局，其目的是获取他们的微软365凭证并发起商业电子邮件泄露（BEC）攻击。

这个以卡巴斯基为主题进行钓鱼攻击的网络犯罪分子并没有冒充卡巴斯基的员工。相反，这些钓鱼邮件通常都声称是 "传真通知"，通过引诱目标进入虚假的网站，然后获取微软在线服务的凭证。这早已经不是第一次使用 "传真通知 "这种古老的诈骗术语了。2020年12月，Office 365的证书也受到了相同攻击方式的攻击。

卡巴斯基的钓鱼邮件是从各种虚假的卡巴斯基网址发出的，它们来自多个网站，包括亚马逊的网络服务基础设施。

卡巴斯基提供了下面的钓鱼邮件样本。

分析显示，这些网络钓鱼活动使用的是一个被卡巴斯基研究人员称为 "Iamtheboss "的网络钓鱼工具包，还有另一个被称为 "MIRCBOOT "的网络钓鱼工具包。

钓鱼平台BulletProofLink提供的MIRCBOOT服务

MIRCBOOT这个名字可能听起来很熟悉，可能因为它是微软最近发现的网络钓鱼工具包之一，当时微软就发现了一个大规模的、很有组织性的、复杂的网络钓鱼（PhaaS）攻击平台，犯罪分子称之为BulletProofLink。

BulletProofLink是一个秘钥窃取平台，该平台提供了钓鱼工具包、电子邮件模板和其他黑客工具，让用户定制攻击活动并开发自己的工具。然后他们利用PhaaS平台提供的钓鱼工具包、电子邮件模板和攻击所需的托管服务进行攻击。

MIRCBOOT和BulletProofLink上提供的其他网络钓鱼工具包允许网络犯罪分子建立网站并购买他们所需的域名来发起网络钓鱼攻击活动，例如假装成一家安全公司的员工，就像本案中一样。