安全研究人员 MalwareHunterTeam 发现,威胁行为者注意到,可以很容易地将自定义域名标记 web 应用程序和 web 托管功能用于静态登录的钓鱼网页,并且正在积极利用微软的服务来攻击微软、Office 365、Outlook 和 OneDrive 的用户。
如下图所示,这些网络钓鱼活动中使用的一些登录页面看起来几乎与微软的官方页面一模一样。
Azure 静态 Web 应用网络钓鱼页面
Azure 静态 Web 应用增加了合法性
使用 Azure 静态 Web 应用平台来针对微软用户是一个很好的策略。因为拥有 *.1.azurestaticapps.net 通配符 TLS 证书,每个登录页面都会自动在地址栏中获得安全锁。在看到微软 Azure TLS Issuing CA 05 颁发给 *.1.azurestaticapps.net 的证书后,潜在的受害者会相信这是微软的官方登录页面。合法的微软 TLS 证书给此类登录页面遮上了虚假的安全面纱,也成为了针对 Rackspace、AOL、雅虎等其他平台用户的有用的工具。
*.1.azurestaticapps.net 通配符 Microsoft TLS 证书
建议在登录页面中填写账户时,仔细检查 URL,以此来检测您是否被网络钓鱼攻击针对。但是,滥用 Azure 静态 Web 应用的网络钓鱼活动使这个建议变得几乎毫无价值,因为许多用户会被 azurestaticapps.net 子域和 TLS 证书所欺骗。
据悉,微软的服务并不是第一次被用来进行网络钓鱼攻击,其 Azure Blob 存储提供的 *.blob.core.windows.net 通配符证书也曾被用来针对 Office 365 和 Outlook 的用户。