Craigslist 电子邮件系统漏洞导致 Microsoft OneDrive 文档受感染
Craigslist 可能是人们购买二手商品的地方,但它现在也被威胁行为者用来绕过 Microsoft Office 安全。INKY 的安全研究人员发现Craigslist 的内部电子邮件网络在针对 Microsoft OneDrive 用户的针对性攻击中遭到破坏。
似乎电子邮件系统被用来发送看起来合法的消息。事实上,这些消息来自真实的 Craigslist IP,使它们看起来是真实的。在电子邮件中,用户被告知他们在平台上添加的内容违反了条款和条件。
伴随警告的是用户避免其帐户被删除的说明。一个问题是说明和整个电子邮件都是假的。
INKY 报告说,攻击者能够劫持 Craigslist 的电子邮件网络并将电子邮件 HTML 更改为自定义消息,该消息在 Microsoft OneDrive 上具有恶意软件下载链接。本文档模仿了 Norton 和 DocuSign 等合法软件。受害者认为他们遵循了真实的指示,但实际上是针对恶意软件。
“由于解决问题的 URL 托管了一个放置在 Microsoft OneDrive 上的自定义文档,它没有出现在任何威胁情报源中,使其能够绕过大多数安全供应商,”研究团队说。
“Craigslist 知道每个人的身份,但除非记者透露细节,否则他们对系统上的其他人来说是完全匿名的,” INKY 继续说道。“这种情况非常适合网络钓鱼者。他们可以从本地邮件代理后面射出毒箭。他们照做了——在 10 月初进行了多次拍摄。”
电子邮件攻击
电子邮件上的消息如下:
“我们平台的内容发布政策明确禁止不当内容,您的广告收到了许多危险信号,”电子邮件中写道。“此表格提供了对问题的更详细描述。它将 24 小时提供。”
当用户单击“表单”时,他们会被带到受感染的 Microsoft OneDrive 文档。
研究人员写道:“似乎不法分子能够操纵电子邮件的 HTML 来创建该按钮并将其链接到 OneDrive。” “将鼠标悬停在链接上会显示一个俄罗斯域名 (myjino[.]ru)。”