HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场名为“Meta Mirage”的新型全球钓鱼攻击活动，该活动针对使用Meta商务套件的企业，专门劫持包含广告管理和品牌官方页面在内的高价值账户。 安全公司CTM360指出，攻击者通过伪造Meta官方通知诱导用户提交密码和安全验证码等敏感信息。研究人员已发现超过14,000个恶意链接，其中约78%在报告发布时仍未被浏览器拦截，这一规模令人担忧。 攻击者利用GitHub、Firebase和Vercel等可信云平台托管虚假页面以增强隐蔽性。该手法与微软近期披露的云服务滥用案例相似——攻击者通过托管服务平台渗透Kubernetes应用，这表明利用可信平台规避检测已成为常用手段。攻击者通过邮件和私信发送账户违规警告、暂停通知或紧急验证提示，利用伪造的Meta官方通信使信息显得紧急而权威。这种策略与近期利用Google Sites钓鱼活动中使用谷歌托管页面欺骗用户的手法高度相似。 主要攻击手段分为两种模式： 凭证窃取：引导用户在高仿真页面输入密码及OTP，通过伪造错误提示迫使重复提交以确保证据有效性。 Cookie劫持：窃取浏览器Cookie实现无密码持续访问，类似PlayPraetor恶意软件劫持社交媒体账户投放欺诈广告的模式。 CTM360报告揭示了攻击者为提高成功率采用的渐进式策略：初期通过非紧急的普通违规通知接触受害者，后续逐步升级为账户即时暂停或永久删除等严重威胁。这种焦虑诱导手法促使用户未经核实即快速响应。 安全防护建议包括： 仅使用专用设备管理企业社媒账户； 设置独立的工作邮箱；启用双因素认证（2FA）； 定期审查账户安全设置和活跃会话； 培训员工识别及报告可疑信息。 本次大规模钓鱼活动凸显了保持警惕并采取主动防护措施对保护线上资产的重要性。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的钓鱼攻击活动，旨在通过名为Horabot的恶意软件针对墨西哥、危地马拉、哥伦比亚、秘鲁、智利和阿根廷等拉丁美洲国家的Windows用户。 Fortinet FortiGuard Labs研究员Cara Lin表示，该活动“通过伪造发票或财务文档的精心设计邮件诱骗受害者打开恶意附件，能够窃取邮箱凭证、收集联系人列表并安装银行木马”。 该网络安全公司于2025年4月观测到这一活动，主要针对西班牙语用户。攻击还被发现利用Outlook COM自动化功能从受害者邮箱发送钓鱼信息，从而在企业或个人网络内部横向传播恶意软件。 攻击者通过执行多种VBScript、AutoIt和PowerShell脚本进行系统侦察、凭证窃取及投放额外恶意载荷。Horabot最早由思科Talos于2023年6月记录为针对拉丁美洲西班牙语用户的威胁，其攻击活动可追溯至至少2020年11月，评估认为攻击者来自巴西。 去年Trustwave SpiderLabs披露了另一起针对同一地区的钓鱼活动，其恶意载荷与Horabot存在相似性。 最新攻击始于以发票为诱饵的钓鱼邮件，诱使用户打开包含PDF文档的ZIP压缩包。实际上该ZIP文件内含恶意HTML文件，其中包含Base64编码的HTML数据，用于连接远程服务器下载第二阶段的恶意载荷。 第二阶段载荷是另一个包含HTML应用程序（HTA）文件的ZIP压缩包，该文件负责加载远程服务器托管的脚本。脚本随后注入外部VBScript代码，执行系列检测——若系统安装Avast杀毒软件或处于虚拟环境则终止攻击。 VBScript继续收集基础系统信息并外传至远程服务器，同时获取额外载荷，包括通过恶意DLL释放银行木马的AutoIt脚本，以及扫描Outlook联系人数据构建目标邮箱列表后传播钓鱼邮件的PowerShell脚本。 Cara Lin表示：“恶意软件随后从Brave、Yandex、Epic Privacy Browser、Comodo Dragon、Cent Browser、Opera、Microsoft Edge和Google Chrome等浏览器窃取相关数据。除数据窃取外，Horabot还监控受害者行为，注入伪造弹窗以窃取敏感登录凭证。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种由虚假网站网络构成的复杂钓鱼计划多年来持续针对Web3项目并大规模清空加密货币钱包。该计划最初于2024年4月被Validin检测为简单的加密钓鱼网站网络，但很快显现出更高复杂性和更大规模。这促使互联网情报平台提供商与SentinelOne的研究团队SentinelLabs合作开展进一步调查。 这项被研究人员命名为FreeDrain的计划，未依赖钓鱼邮件、短信（短信钓鱼）、社交媒体帖子和博客评论垃圾信息等常见传播手段，而是通过SEO操纵、免费层级网络服务和分层重定向技术瞄准加密货币钱包。该行动可能由位于印度（或可能斯里兰卡）的团队实施，至少自2022年起持续活跃。 Validin和SentinelLabs于2025年5月7日至9日在马拉加举行的威胁情报大会PIVOTcon 2025上公布了其发现。 2024年4月，Validin发布了一份记录系列加密窃取钓鱼页面的报告。该报告引起一名人士的注意，其联系Validin称损失了8枚比特币（当时价值约50万美元）。SentinelLabs和Validin研究人员在5月8日的联合报告中解释称：“受害者在点击高排名搜索引擎结果后，试图检查钱包余额时，无意间将钱包助记词提交至钓鱼网站。” 助记词（又称恢复短语或助记种子）是用于恢复加密货币钱包并访问相关资金的单词列表。可信的加密货币追踪分析师确认，用于接收受害者资金的目标钱包为一次性地址。他们表示，被盗资产迅速通过加密货币混币器转移——这是一种通过多笔交易分割和洗钱的混淆方法，使得追踪和追回几乎不可能。 研究人员报告称，尽管无法协助追回损失资产，但此次接触表明钓鱼攻击属于更广泛的大规模行动的一部分。进一步调查后，SentinelLabs和Validin研究人员识别出38,048个托管诱饵页面的FreeDrain子域名。这些子域名托管在亚马逊S3和微软Azure Web Apps等云基础设施上，模仿合法的加密货币钱包界面。 为使钓鱼网站网络更具吸引力，黑客综合运用SEO操纵技术、免费层级网络托管服务（如GitHub.io、WordPress.com、GoDaddySites、Gitbook）、域名抢注技术、熟悉视觉元素和分层重定向技术，诱使受害者误认为网站合法。 “我们对所有主流搜索引擎顶部结果中出现的大量诱饵页面感到震惊。”研究人员表示。“多数页面仅包含一张大图（通常是合法加密钱包界面的静态截图）和几行看似提供帮助说明的文字——讽刺的是，部分页面甚至声称要教育用户如何防范钓鱼攻击。”尽管看似基础，这些网页直接回答了搜索引擎用户可能输入的问题。此类页面已知会受到搜索引擎算法的推荐，尤其是当托管在高声誉平台时。 此外，FreeDrain运营者通过在维护不善的网站上进行大规模评论灌水，通过搜索引擎索引提升其诱饵页面的可见度——这种技术被称为“垃圾索引”。研究人员写道：“该技术使FreeDrain能绕过钓鱼邮件或恶意广告等传统传播途径，直接在用户最信任的搜索引擎顶部接触目标。”调查人员发现，许多诱饵页面的文字存在由大语言模型生成的证据。 他们指出，发现的复制粘贴痕迹揭示了具体使用工具，包括“4o mini”等字符串——可能指向OpenAI的GPT-4o mini模型。调查人员表示，这些迹象表明FreeDrain运营者正在利用生成式AI创建可扩展内容，但有时操作粗心。SentinelLabs和Validin研究人员梳理出最终导向钓鱼网站的逐步流程： 在主流搜索引擎搜索钱包相关查询（如“Trezor钱包余额”）。 点击高排名结果（通常托管在gitbook.io或webflow.io等看似可信的平台）。 进入显示可点击大图（通常是合法钱包界面静态截图）的页面。 点击图片，跳转至钓鱼页面或重定向至中间网站。 抵达最终钓鱼网站（与真实钱包服务近乎完美的克隆），诱导用户输入助记词。 一旦提交助记词，攻击者的自动化基础设施将在数分钟内清空资金。 调查人员最终表示，由于FreeDrain使用临时基础设施和共享免费服务，溯源行动具有挑战性。然而，通过分析仓库元数据、行为信号和时间痕迹，他们成功获取了运营者特征的重要线索，包括其可能位置、工作模式和协作水平。研究人员称，调查揭示了多项关键发现。他们分析了与FreeDrain关联的GitHub仓库，发现提交记录中的电子邮件地址唯一且关联独立GitHub账户，多数来自免费邮箱提供商。 此外，提交时间戳主要集中于UTC+05:30时区（对应印度标准时间IST），表明与印度（或可能斯里兰卡）存在强烈地理关联。该发现通过分析Webflow等其他服务的元数据得到佐证——日志显示IST时区清晰的工作日9点至17点工作模式。研究人员总结称，综合证据表明FreeDrain行动极可能由印度境内人员在标准工作日时段实施。他们还指出，该活动至少自2022年活跃，2024年中活动量显著增加，且报告发布时仍在持续。 针对FreeDrain活动暴露的问题，调查人员建议免费内容平台采取措施防止滥用并改进对恶意活动的响应： 改进滥用报告机制：允许直接从已发布内容页面举报滥用行为，并与可信威胁情报分析师和研究人员建立直接沟通渠道。 投资基础防滥用工具：监测批量账户创建、相似域名结构和外部钓鱼工具包重复托管等滥用模式。 增强检测能力：识别协同滥用行为，例如重复命名模式和跨子域名复用的相同模板。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日揭露一项规模化运行的钓鱼即服务（PhaaS）活动，该犯罪网络在短短数月内已导致数十万人受害。挪威安全公司Mnemonic披露，该代号“Darcula”的钓鱼平台专门针对iPhone和Android用户，通过仿冒知名品牌诱导受害者提交银行卡信息。 该组织通过短信、RCS和iMessage渠道在全球范围发起攻击，伪装成物流公司等品牌发送钓鱼信息。受害者会被要求支付“包裹签收费用”、“道路通行费”等虚假账单。早期报告显示，该平台持续迭代升级，已具备生成式AI定制钓鱼话术、反取证追踪等高级功能。 通过逆向工程分析，Mnemonic成功锁定该犯罪网络的核心——名为“Magic Cat”的自动化攻击套件。 该基础设施当前被约600个网络犯罪团伙租用，这些组织多潜伏于加密Telegram群组，利用SIM卡池扩大攻击覆盖面，通过卡终端设备处理窃取的数据。据研究人员估算，2023年至2024年的七个月内，通过该平台泄露的银行卡信息达88.4万条。 Mnemonic指出，Magic Cat是专为技术门槛较低的犯罪者设计的全功能工具包，可实现钓鱼短信攻击的批量化操作。该平台内置数百个跨国品牌仿冒模板，近期更新后自定义模板功能更为简化。 该工具具备实时数据流监控功能，可逐字符捕获受害者输入的敏感信息，并支持动态索取PIN码、无缝对接短信网关等高级特性。目前，已通报多国执法机构介入调查。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，针对WooCommerce用户的大规模钓鱼活动正在蔓延。攻击者通过伪造“关键安全补丁”警报，诱骗用户下载后门程序。 WordPress安全公司Patchstack将此次行动描述为“复杂攻击”，并指出其与2023年12月观察到的另一项活动存在关联——当时攻击者同样利用虚构的CVE漏洞入侵网站。 鉴于钓鱼邮件话术、伪造网页及恶意软件隐藏手法的高度相似性，研究人员认为最新攻击可能出自同一威胁组织，或是模仿此前攻击的新团伙。 安全研究员Chazz Wolcott表示：“攻击者声称目标网站存在（不存在的）‘未认证管理访问’漏洞，并诱导用户访问通过国际化域名同形异义字攻击（IDN homograph）伪装的虚假WooCommerce官网。”钓鱼邮件中的“下载补丁”链接会将用户重定向至域名“woocommėrce[.]com”（注意用‘ė’替代‘e’），并下载名为“authbypass-update-31297-id.zip”的恶意ZIP文件。 受害者按提示安装该“补丁”（实为恶意WordPress插件）后，将触发以下恶意行为： 创建隐藏管理员账户：通过随机命名的定时任务（每分钟运行一次），生成混淆用户名和随机密码的管理员账号； 注册受感染站点：向外部服务器“woocommerce-services[.]com/wpapi”发送HTTP GET请求，传递账号密码及网站URL； 获取第二阶段载荷：从“woocommerce-help[.]com/activate”或“woocommerce-api[.]com/activate”下载混淆处理的后续攻击载荷； 部署网页后门：解码载荷后安装P.A.S.-Fork、p0wny和WSO等网页后门； 隐藏攻击痕迹：从插件列表中删除恶意插件，并隐藏创建的管理员账户。 攻击最终使黑客获得网站远程控制权，可实施广告注入、用户重定向、组建DDoS僵尸网络，甚至加密服务器资源进行勒索。 研究人员建议用户立即扫描可疑插件和管理员账户，并确保所有软件更新至最新版本。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Netcraft最新报告显示，Darcula的钓鱼即服务（PhaaS）平台幕后运营者已为其网络犯罪工具包添加生成式人工智能（GenAI）功能。这项升级显著降低了钓鱼攻击的技术门槛，即使缺乏技术背景的犯罪分子也能在数分钟内创建定制化欺诈页面。 该平台新增的AI辅助功能具备以下威胁特性： 多语言支持：自动生成含本地化语言元素的钓鱼表单 智能克隆：可1:1复制任意品牌官方网站的界面设计 零代码操作：无需编程知识即可构建定制化钓鱼站点 攻击活动时间线 2024年3月：Netcraft首次曝光Darcula利用苹果iMessage/RCS协议发送伪装成USPS等邮政服务的钓鱼短信（Smishing） 2025年1月：运营者开始测试网站克隆功能 2025年4月23日：正式集成GenAI实现多语言钓鱼攻击自动化 瑞士网络安全公司PRODAFT追踪发现，该平台开发者代号LARVA-246，通过Telegram频道”xxhcvv/darcula_channel”进行销售。技术特征显示其与另一款钓鱼工具Lucid存在代码复用，两者均隶属于“Smishing Triad”犯罪生态，该组织长期实施全球性金融诈骗。 自2024年3月至今，Netcraft已下线25,000+个Darcula钓鱼页面，封禁31,000+个恶意IP地址以及标记90,000+个钓鱼域名。 Netcraft安全研究员Harry Everett警告：“这种技术革新使初级攻击者能在5分钟内完成钓鱼站点搭建与传播，全球金融机构需立即升级多因素认证体系。”（报告全文已提交FBI网络犯罪投诉中心）     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜（朝鲜民主主义人民共和国，DPRK）存在关联的多个威胁活动集群被确认针对Web3及加密货币领域的机构与个人实施攻击。 谷歌旗下Mandiant公司在提供给《The Hacker News》的《2025 M-Trends报告》中指出：“朝鲜因遭受严厉国际制裁，其针对Web3与加密货币的攻击主要出于经济动机。这些活动旨在获取资金，据信用于支持朝鲜大规模杀伤性武器（WMD）计划及其他战略资产。” Mandiant表示，朝鲜相关攻击者已开发使用Golang、C++和Rust等多种语言编写的定制工具，具备感染Windows、Linux和macOS操作系统的能力。 追踪编号为UNC1069、UNC4899和UNC5342的三个威胁集群被发现重点攻击加密货币与区块链开发群体，主要渗透从事Web3项目的开发人员以非法获取加密货币钱包权限及其所属机构访问权限。各集群特征如下： UNC1069（活跃至少自2018年4月）：通过Telegram发送虚假会议邀请并伪装知名企业投资者身份，针对多行业实施社会工程攻击以窃取数字资产与加密货币 UNC4899（活跃自2022年）：以招聘测试为名分发恶意代码实施供应链攻击（与Jade Sleet、PUKCHONG、TraderTraitor等组织存在技术重叠） UNC5342（活跃自2024年1月）：使用含恶意代码的编程任务诱骗开发人员运行（与Contagious Interview、DEV#POPPER等组织存在技术重叠） 另一朝鲜攻击者UNC4736通过植入后门的交易软件渗透区块链行业，被指与2023年初3CX供应链攻击存在关联。Mandiant公司还发现独立集群UNC3782实施针对加密货币行业的大规模钓鱼攻击，2023年针对TRON用户实施钓鱼攻击，单日转移价值超1.37亿美元资产，2024年转向攻击Solana用户诱导其访问含加密货币流失器的页面。 朝鲜通过派遣数千名IT人员（主要居住在中国与俄罗斯）渗透欧美亚企业远程岗位，这些人员大多隶属负责核计划的313总局。他们使用盗用身份与完全虚构身份，在面试阶段运用Deepfake技术创建逼真合成身份。 单操作员可使用多个合成身份应聘同一职位，长期潜伏企业虚拟桌面、网络与服务器实施数据窃取与网络攻击。 Palo Alto Networks Unit 42研究员Evan Gordenker指出该策略使朝鲜IT人员可规避安全公告通缉，显著降低检测概率。谷歌威胁情报组（GTIG）报告显示渗透人员还通过勒索雇主、薪资回流平壤等方式支持朝鲜战略目标。 2024年某朝鲜IT人员使用至少12个虚构身份应聘欧美岗位，某美国公司同一岗位出现两名朝鲜渗透人员竞争，其中一人成功入职，另有机构12个月内雇佣四名朝鲜IT渗透人员。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本金融厅（FSA）警告称，与遭入侵的证券账户相关的未授权交易金额已达数亿美元，针对互联网交易服务的非法访问及交易行为造成的损失正在扩大。 日本金融厅在警报中写道。“伪装成真实证券公司网站的钓鱼网站窃取客户信息（登录ID、密码等）后，攻击者利用这些信息对互联网交易服务进行未授权访问及未授权交易（第三方操作交易）的案例数量急剧上升。” 日本金融厅警告称，在线交易平台上通过钓鱼网站窃取登录凭证实施的未授权交易案例正快速增加。通常攻击者会劫持受害者账户，出售其持有股票并用所得资金购买股票等资产，这些资产在攻击后仍留存于账户内。报告的售出与买入金额为总交易量，不等于客户实际损失金额。 为避免因登录凭证泄露导致未授权交易，用户需遵循关键防护措施：切勿点击邮件或短信中的链接，始终通过预先保存的书签访问证券网站，启用多因素认证和登录通知等安全功能。避免密码复用，设置复杂密码并频繁检查账户活动。若怀疑欺诈，立即更改密码并联系所属证券公司。保持设备系统更新并使用可靠防病毒软件以防范恶意软件数据窃取。 日本金融厅建议用户查阅日本证券业协会发布的《证券公司在提供互联网交易服务时应注意事项》警示公告。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者利用谷歌基础设施的漏洞发送伪造邮件，这些邮件通过全部验证但指向收集登录凭证的欺诈页面。 欺诈邮件看似来自”no-reply@google.com”并通过了域名密钥识别邮件（DKIM）认证，但实际发件地址不同。 以太坊域名服务（ENS）首席开发者Nick Johnson收到一封伪装成谷歌安全警报的邮件，声称因执法机构传票要求获取其谷歌账户内容。 该邮件几乎完全仿冒真实警报，甚至被归类至合法安全通知会话中，极易误导非技术用户。然而Johnson发现邮件中的“支持门户”托管在谷歌免费建站平台sites.google.com上，由此产生怀疑。 由于域名归属谷歌，受害者更难识别风险。Johnson指出该钓鱼页面“与真实页面完全一致，唯一破绽在于托管在sites.google.com而非accounts.google.com”。 此次攻击的巧妙之处在于通过DKIM重放攻击使伪造邮件通过验证。邮件详情显示，“mailed-by”标头地址并非谷歌官方地址，收件人地址为攻击者伪造的类谷歌域名邮箱。但邮件仍由谷歌签名发送。 Johnson还原了攻击链条： 1、注册仿冒域名并创建“me@domain”谷歌账户 2、创建Google OAuth应用并将钓鱼信息写入应用名称字段 3、通过大量空白字符分隔合法通知与欺诈内容 4、授权OAuth应用访问邮箱时触发谷歌系统生成含有效DKIM签名的警报邮件 5、将警报邮件转发至受害者邮箱 邮件认证公司EasyDMARC的技术分析证实，由于DKIM仅验证邮件内容及标头而非信封，此类伪造邮件可绕过检测。 攻击者还利用“me@”前缀使Gmail显示邮件直接发送至受害者地址。类似手法已在PayPal平台重现。 3月的攻击中，欺诈者通过PayPal“礼品地址”功能绑定新邮箱，在地址字段插入钓鱼信息。PayPal系统自动发送的确认邮件经攻击者转发至受害者列表。BleepingComputer 就此问题联系了 PayPal，但一直未收到回复。 Johnson 还向 Google 提交了一份错误报告，该公司最初的回复是该流程运行正常。然而，Google 后来重新考虑了这个问题，认为它对用户构成了风险，目前正在努力修复 OAuth 漏洞。 目前已有至少6款信息窃取恶意软件滥用该机制，包括Lumma、Rhadamanthys等家族，可恢复过期谷歌认证Cookie实现持久访问。       消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 攻击者正在利用一款名为Gamma的AI演示平台进行钓鱼攻击，将毫无戒心的用户引导至仿冒的微软登录页面。 Abnormal Security研究人员Callie Hinman Baron和Piotr Wojtyla在周二的分析报告中指出：“攻击者将Gamma（一种相对较新的基于AI演示工具）武器化，通过其向受害者发送虚假微软SharePoint登录门户的链接。” 攻击链始于钓鱼邮件（某些情况下通过合法但被入侵的邮箱账户发送），诱导收件人打开嵌入的PDF文档。 实际上，该PDF附件仅包含一个超链接。点击后，受害者会被重定向至托管在Gamma平台上的演示页面，并被提示点击“查看安全文档”按钮。 此操作会将用户带到一个仿冒微软的中间页面，要求他们在访问所谓文档前完成Cloudflare Turnstile验证步骤。这一验证码（CAPTCHA）环节既增强了攻击的真实性，也阻止了安全工具对链接进行自动化分析。 随后，目标用户将被导向伪装成微软SharePoint登录门户的钓鱼页面，攻击者试图窃取其凭证。 研究人员指出：“若用户输入错误凭证，页面会显示‘密码错误’提示，这表明攻击者使用了某种实时验证凭证的中间人（AiTM）手段。” 这一发现反映了当前钓鱼攻击的普遍趋势：攻击者滥用合法服务托管恶意内容，绕过SPF、DKIM、DMARC等邮件认证检查——这种技术被称为依赖可信站点生存（LOTS）。 研究人员表示：“这场复杂的多阶段攻击表明，如今的威胁行为者正利用小众工具产生的盲区规避检测、欺骗用户并实施账户入侵。” “攻击者并未直接链接至凭证窃取页面，而是将用户重定向至多个中间环节：首先是Gamma托管的演示页面，随后是受Cloudflare Turnstile保护的跳转页，最终到达仿冒的微软登录页面。这种多阶段跳转隐藏了真实目标，使静态链接分析工具难以追踪攻击路径。” 此次披露恰逢微软在其最新《网络信号》报告中警告称，AI驱动的欺诈攻击正在激增。攻击者利用深度伪造、语音克隆、钓鱼邮件、高仿假网站及虚假招聘信息生成可信内容以扩大攻击规模。 微软表示：“AI工具可扫描并抓取网络上的企业信息，帮助攻击者构建员工或其他目标的详细档案，从而设计极具说服力的社交工程诱饵。” “在某些案例中，攻击者通过伪造的AI增强产品评论和AI生成的网店页面，诱骗受害者陷入日益复杂的欺诈计划。诈骗者甚至创建完整的网站和电商品牌，编造虚假企业历史与客户评价。” 微软还宣布已对Storm-1811（又名STAC5777）组织的攻击采取行动。该组织通过Teams实施语音钓鱼（vishing），伪装成IT支持人员，诱骗受害者授予其设备远程访问权限以部署后续勒索软件。 然而，有证据表明，这场Teams钓鱼活动的幕后团伙可能正在改变策略。ReliaQuest最新报告显示，攻击者采用了一种此前未公开的持久化手段——通过TypeLib COM劫持和新型PowerShell后门逃避检测并维持对入侵系统的访问。 据称，该威胁组织自2025年1月起开发多版PowerShell恶意软件，早期版本通过恶意Bing广告投放。两个月后发现的攻击活动瞄准金融、专业服务及科技行业客户，重点针对女性化名字的高管层员工。 攻击链后期阶段的策略变化引发猜测：Storm-1811可能正在升级手法，或是分支组织所为，亦或是其他威胁行为者复制了其独有的初始入侵技术。 ReliaQuest指出：“钓鱼聊天信息的时间经过精心设计，集中在下午2点至3点之间（与目标组织的当地时间完全同步），利用员工午后警惕性较低的时段实施攻击。” “无论此次微软Teams钓鱼活动是否由Black Basta组织发起，可以肯定的是，通过Teams实施的钓鱼攻击不会消失。攻击者持续寻找绕过防御并潜伏在组织内部的巧妙方法。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文