据ANY.RUN安全团队的最新报告,一个名为Kratos的钓鱼即服务(Phishing-as-a-Service)操作正在大范围窃取Microsoft 365账户凭据,其活动已覆盖美国、欧洲及其他多个地区。研究人员发现,这个平台通过高度仿真的文档、发票和文件共享诱饵,将受害者引导至伪造的微软登录页面,截至分析时,仅在新版Kratos的相关沙箱会话中就已记录到超过1600次交互痕迹。
报告指出,该服务早在2025年9月就有了运营面板的活动迹象,而攻击工具包本身则从2026年1月开始被观察到。运营面板为加盟者提供了全套钓鱼部署功能:操作者可以在面板内快速设置钓鱼域名、指定窃取数据的投递方式、按地理区域限制攻击范围,还能选择启用反机器人检测模块,以增加自动化安全扫描的难度。这让没有深厚技术背景的攻击者也能轻松发动大规模凭据窃取行动。
![]()
Kratos的攻击链通常从一封看似日常业务的邮件开始。邮件内容声称有一份文件已通过共享链接发送、一张发票需要核对,或者有一项DocuSign电子签名待处理。在ANY.RUN观测到的114个真实案例里,这些恶意邮件已经穿透了企业邮件过滤器或安全网关,最终到达员工收件箱。这一数据凸显出,伪装成微软365工作流通知的钓鱼邮件,至今仍是绕过边界防御的高效手段。
受害者一旦点击邮件中的链接,往往不会立即进入钓鱼页面。攻击者倾向于先通过合法服务进行跳转,以此迷惑用户和安全系统。最主要的投递路径是SharePoint和OneDrive,此外还包括Microsoft Forms、Canva、Tilda、systeme.io以及其他正规的文件共享平台。这些中间跳板让整个访问链条看起来更像是内部办公流程,从而压低用户的警惕性。
在最终展示虚假登录页之前,Kratos还会设置一道Cloudflare Turnstile人机验证屏幕。这一步明显是为了过滤掉自动化爬虫和沙箱分析工具,与近期其他反机器人钓鱼活动所采用的手法如出一辙。只有在浏览器中完成这一验证后,受害者才会看到仿冒的微软登录窗口。该窗口通常会在模糊处理的文档或发票背景上叠加一个动画信封图标,浏览器标签页标题显示为“Authentication”,页面则先呈现“Loading in progress”的加载提示,稍后才出现要求输入邮箱密码的输入框。
当受害者在伪造页面输入凭据并提交后,信息会被发送至服务器端的收集脚本。值得留意的是,在一些会话中还观察到了WebSocket连接的建立。这种情况可能暗示攻击者正在实施实时凭据中继,或者采取中间人攻击手法来绕过动态验证机制。不过,ANY.RUN研究人员特别强调,仅凭WebSocket连接本身并不能直接判定会话已被成功劫持,尚需更多证据支撑。
从版本演进来看,Kratos的工具包已至少经历三个世代。最初的V0版本使用“Secure File Access”这类简单的安全文件访问诱饵;随后的V1和V2版则对微软登录界面进行了更逼真的模仿,并且采用了不同的页面资源和凭据收集流程。尽管外观和收集机制有所变化,但这些版本之间共享的域名和部分相同的文件组件,让研究人员得以将它们关联到同一个运营实体。
一旦Microsoft 365账户沦陷,攻击者可获取的远不止邮箱内容。他们能够翻阅SharePoint上的团队文件、OneDrive中的个人与共享数据,甚至介入支付对话和通讯录信息,为后续的商务欺诈、数据勒索或进一步横向移动铺路。面临风险的机构范围广泛,从小型企业、律师事务所、学校,到工业企业和公共机构,都可能成为Kratos加盟者的猎物。
面对这种持续演化的钓鱼即服务威胁,安全团队需要重新审视邮件过滤策略,并加强对合法云服务滥用链的检测能力。因为当攻击入口已经穿戴上了SharePoint、OneDrive这些日常工具的外衣时,仅凭员工的安全意识培训往往不足以堵住所有缺口。Kratos的案例再次表明,钓鱼基础设施正在向模块化、防分析的方向快速迭代,而防御思路也必须从识别单点恶意特征,转向对整个访问行为链的上下文分析。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.