中断的网络钓鱼服务是在Microsoft 365凭据

Microsoft和Cloudflare已向称为Raccoono365的网络钓鱼服务最快的网络钓鱼行动带来了重大打击。

来源:Malwarebytes Labs 博客

Microsoft和Cloudflare已破坏了AS-AS-Service操作,称为Raccoono365。

Microsoft Cloudflare

Raccoono365(或Microsoft称之为Storm-2246)的主要目标是出租一个专门用于窃取Microsoft 365凭据的网络钓鱼工具包。他们在至少5,000例案件中取得了成功,自2024年7月以来跨越94个国家。

该操作为网络犯罪分子的客户提供了被盗的凭据,cookie和数据,这些凭据又可以用来掠夺OneDrive,SharePoint和Outlook帐户,以获取用于财务欺诈,勒索或用作大型攻击的初始访问的信息。

大致攻击看起来像这样:

    电子邮件已发送给具有包含链接或QR码的附件的受害者。恶意链接导致了带有简单验证码的页面。实施了这种反机器人技术,以逃避分析而不会引起受害者的怀疑。解决验证码后,受害者被重定向到伪造的Microsoft O365登录页面,旨在收获输入的证书。
  • 电子邮件已发送给具有包含链接或QR码的附件的受害者。
  • QR代码
  • 恶意链接带来了带有简单验证码的页面。实施了这种和其他反机器人技术来逃避分析,而不会引起受害者的怀疑。
  • 解决验证码后,受害者被重定向到伪造的Microsoft O365登录页面,旨在收获输入的凭据。
  • Raccoono365在合法基础设施的基础上建立了其操作,以避免检测。利用免费帐户,他们在战略上部署了Cloudflare工人作为中间层,从而屏蔽了后端网络钓鱼服务器免受直接公开敞口。

    对这种对服务的滥用做出了反应,Cloudflare与Microsoft的数字犯罪部门(DCU)合作。 DCU使用纽约南部地区批准的法院命令,占领了338个与Raccoono365相关的网站。

    我们会及时通知您。

    密码经理