在美国组织工作的高级管理人员正在被一个新的网络钓鱼活动所针对，该活动利用一个名为EvilProxy的流行的中间对手（AiTM）网络钓鱼工具包来进行凭据采集和帐户接管攻击。

Menlo Security表示，该活动将于2023年7月开始，主要针对银行和金融服务、保险、物业管理和房地产以及制造业。

安全研究员Ravisankar Ramprasad在上周发表的一份报告中说：“威胁行为者利用了求职平台‘indeed.com’上的一个开放的重定向漏洞，将受害者重定向到冒充微软的恶意钓鱼网页。”

EvilProxy最早由Resecurity于2022年9月记录，其功能是在目标和合法登录页面之间设置反向代理，以拦截凭据、双因素身份验证（2FA）代码和会话cookie来劫持感兴趣的帐户。

微软以代号Storm-0835对AiTM网络钓鱼工具包背后的威胁者进行了跟踪，估计他们拥有数百名客户。

这家科技巨头说：“这些网络罪犯每月支付200美元到1000美元不等的许可证费，并每天进行网络钓鱼活动。”“由于使用这些服务的威胁参与者如此之多，因此将营销活动归因于特定参与者是不切实际的。”

在Menlo Security记录的最新一组攻击中，受害者被发送带有指向Indeed的欺骗性链接的网络钓鱼电子邮件，这反过来又将个人重定向到EvilProxy页面以获取输入的凭据。

这是通过利用一个开放的重定向缺陷来实现的，当无法验证用户输入导致易受的网站将用户重定向到任意网页，绕过安全护栏时，就会发生这种情况。

Ramprasad说：“子域‘t.indexed.com’提供了参数，用于将客户端重定向到另一个目标(example.com)。”

“URL中在‘？’后面的参数是indexed.com的唯一参数和目标参数的组合，目标参数的参数由目标URL组成。因此，用户单击URL后将被重定向到example.com。在实际攻击中，用户将被重定向到钓鱼页面。”

这项开发是在威胁行为者利用Dropbox创建带有嵌入式URL的假登录页面的同时进行的，当单击这些URL时，用户将重定向到伪造的站点，这些站点旨在窃取Microsoft帐户凭据，作为商业电子邮件折衷(BEC)方案的一部分。

Check Point表示：“这是黑客利用合法服务进行BEC 3.0攻击的又一个例子。”“对于安全服务和最终用户来说，这些攻击是难以阻止和识别的。”

微软在其数字防御报告中指出，通过滥用基于云的基础设施和利用可信的业务关系，“威胁参与者正在调整他们的社会工程技术和使用技术来执行更复杂和代价更高的BEC攻击”。

与此同时，北爱尔兰警察局警告称，准回复电子邮件数量将有所上升，其中包括发送一封带有PDF文档或含有QR代码的PNG图像文件的电子邮件，试图避开检测，并欺骗受害者访问恶意网站和获取证件的页面。