电子邮件安全和威胁检测服务提供商Vade发布了一份关于最近发现的涉及欺骗Microsoft 365身份验证系统的网络钓鱼攻击的报告。根据Vade的威胁情报和响应中心(TIRC)的说法，攻击电子邮件包含带有JavaScript代码的有害HTML附件。此代码旨在收集收件人的电子邮件地址并使用回调函数变量中的数据修改页面。

TIRC研究人员在分析恶意域时解码了Base64编码的字符串，并获得了与Microsoft 365网络钓鱼攻击相关的结果。研究人员指出，网络钓鱼应用程序的请求是向evilcorponline提出的。

通过periodic-checkerglitchme发现的其源代码与附件的HTML文件类似，表明网络钓鱼者正在利用glitch.me托管恶意HTML页面。

Glitch.me是一个平台，使用户能够创建和托管Web应用程序、网站和各种在线项目。不幸的是，在这种情况下，该平台被利用来托管涉及正在进行的Microsoft 365网络钓鱼骗局的域。

当受害者收到一封包含恶意HTML文件作为附件的电子邮件时，攻击就开始了。当受害者打开该文件时，他们的Web浏览器中会启动一个伪装成Microsoft 365的网络钓鱼页面。在这个欺骗性页面上，系统会提示受害者输入其凭据，攻击者会立即收集这些凭据用于恶意目的。

由于Microsoft 365在商业社区中的广泛采用，受感染的帐户很可能属于企业用户。因此，如果攻击者获得这些凭据的访问权限，他们就有可能获取敏感的业务和贸易信息。

此外，根据他们的报告，Vade的研究人员还发现了一次网络钓鱼攻击，其中涉及使用Adob​​e的欺骗版本。

进一步分析显示，恶意“eevilcorp”域返回与名为Hawkeye的应用程序相关的身份验证页面。需要强调的是，包括Talos在内的网络安全专家已经对原始HawkEye键盘记录器进行了评估，并将其归类为2013年出现的恶意软件工具包，随着时间的推移，后续版本也不断出现。

此上下文是相关的，因为它解释了为什么TIRC研究人员无法在身份验证页面和HawkEye键盘记录器之间建立直接连接。

妥协的指标被确定为以下几项：
1. 周期性检查故障
2. 扫描验证故障
3. 故障转移
4. 空投故障
5. 精确共享故障
6. 每月付款发票故障
7. 月度报告检查故障
8. 邪恶公司
9. 终极在线

这种攻击之所以引人注目，是因为利用了恶意域(eevilcorponline)和HawkEye，后者可作为键盘记录器和数据窃取工具在黑客论坛上购买。虽然Vade的调查仍在进行中，但用户保持警惕并遵循以下步骤以防止成为Microsoft 365网络钓鱼诈骗的受害者至关重要：

1. 检查电子邮件发件人：警惕从可疑或陌生的电子邮件地址发送的声称来自Microsoft 365的电子邮件。验证发件人的电子邮件地址以确保其与官方Microsoft域匹配。
2. 寻找通用问候语：网络钓鱼电子邮件通常使用“尊敬的用户”等通用问候语，而不是直接称呼您的名字。合法的Microsoft电子邮件通常通过您的姓名或用户名来称呼您。
3. 分析电子邮件内容和格式：注意拼写和语法错误以及不良格式。网络钓鱼电子邮件通常包含来自Microsoft的合法通信不会有的错误。
4. 将鼠标悬停在链接上：单击电子邮件中的任何链接之前，将鼠标光标悬停在链接上以查看实际的URL。如果链接的目标看起来可疑或与官方Microsoft域不同，请勿单击它。
5. 对紧急请求保持谨慎：网络钓鱼电子邮件通常会营造一种紧迫感，迫使您立即采取行动。请谨防声称您的Microsoft 365帐户存在风险或需要紧急验证个人信息的电子邮件。
6. 请记住，如果您怀疑某封电子邮件是网络钓鱼诈骗，最好谨慎行事。向Microsoft报告任何可疑电子邮件，并避免提供个人或敏感信息，除非您可以通过官方渠道验证请求的合法性。