骗过|新式Office 365钓渔网站能同时骗过用户及侦测引擎网站|沙箱|侦测|office|引擎|用户

文章插图
恶意攻击手法越来越进步，安全研究人员发现近日一波冒充Office 365的钓渔网站，使用反转背景图的色彩的新手法来躲避安全软件侦测，又能诱骗用户上门。
安全公司WMC研究团队指出，新近的网页图像识别软件越来越进步，使网站扫描产品的分析也更加精确，然而他们最新发现一种新手法运用在Office 365钓渔网站，可骗过这类扫描引擎。方法是将网站图像的颜色进行反转（inverse）成为负片，产生和原始网站图片不同的图像散列。这手法可以影响扫描软件，使它无法将整个图片标示为恶意图像。
但是访问网站的用户却能识别出这种怪异的图片，并立即离开。为此，攻击者的做法是先将这色彩反转的图片设为背景，再在网站的index.php程序代码套用CSS，将图像色彩改为原本的颜色。这样一来，最后的钓渔网站就能骗过用户的眼睛，又不会被扫描引擎侦测出来。
【 骗过|新式Office 365钓渔网站能同时骗过用户及侦测引擎】研究人员发现到一个Office 365钓鱼攻击组件使用这种反转色彩的图片，也发现这个组件似乎也已卖给了多名买主，并用以进行Office 365钓鱼攻击。
除了反转图片色彩外，研究人员指出变更网站logo和图片也可能骗过扫描引擎。他们发现如果这类钓渔网站被限制在沙箱环境打开，比较可能被图片扫描系统侦测出来。但是缺点是沙箱打开会使网站花更长时间打开，而且这段时间内钓渔网站仍然可能伤害到用户。
由于Office 365用户众多，也引发黑客以各种钓鱼手法窃取用户输入账号。黑客钓鱼信件发送的假连接包括Microsoft Teams消息、公司VPN配置、SharePoint和OneDrive文件分享连接及Azure ID登录页连接等。