攻击者正冒充美国政府机构骗取承包商Office账户

据Bleeping Computer 9月19日消息，针对美国政府承包商的持续性网络钓鱼攻击呈逐渐扩大之势，攻击者正采用更加难以分辨的“诱饵”制作钓鱼文件。

在这些钓鱼攻击中，攻击者通过伪造利润丰厚的政府项目投标请求，通过电子邮件将承包商骗至仿冒合法联邦机构门户的网络钓鱼页面。

这与 INKY 在 2022 年 1 月报告的钓鱼操作基本相同，攻击者使用随附的 PDF 文件，其中包含有关美国劳工部项目招标流程的说明。但根据Cofense在9月19日发布的情报，这些攻击者已经扩大了他们的目标，如今的冒充对象还涵盖美国交通部和商务部。

更加“精致”的钓鱼文件

根据Cofense的情报，攻击者在之前已经颇有成效的钓鱼文件基础之上采用了更加多样且精细化的设计，并删除了在之前版本中可能露出马脚的细节。

在Cofense例举的样例中，钓鱼文件在首页采用了更大的徽标，并且更倾向于采用包含PDF的链接而不是直接在邮件中置入附加文件。此前，PDF 曾经包含有关如何投标的详细说明，其中包含过多的技术信息，而现在，这些信息已被简化，并在显要位置显示指向网络钓鱼页面的链接。

【钓鱼活动中使用的新版PDF】

此外，PDF 之前的签名者是edward ambakederemo，而现在，文档中的元数据与冒充的部门更加匹配。例如由威斯康星州交通部发送的“诱饵”将带有WisDOT的签名。

在钓鱼网站域名方面，除了显示.gov冒充政府机构外，攻击者现在还使用长域名，如transportation.gov bidprocure.secure akjackpot.com，以便在无法从URL栏里显示完整链接的移动浏览器中打开时看起来像是合法链接。

在试图诱骗访问者输入其 Microsoft Office 365 帐户凭证的网络钓鱼页面上，攻击者现在还添加了验证码识别步骤，以确保他们没有采用机器人输入。

【在窃取凭证之前添加了验证码识别步骤】

在这类钓鱼攻击事件中，使用的电子邮件、PDF和网站基本上都是照抄真实的招标文件和国家招标门户网站的实际内容，因此很难看出欺诈的痕迹，唯一的防御措施是除了检查内容本身外，还要包括其他所有细节，如发送地址、登陆网址，并最终通过搜索引擎访问投标门户网站，而不是按照提供的链接。

参考来源：

https://www.bleepingcomputer.com/news/security/microsoft-365-phishing-attacks-impersonate-us-govt-agencies/