網路安全研究人員正在關註一種新型憑證網路釣魚方案，該方案可確保被盜資訊與有效的線上帳戶相關聯。

Cofense 將這項技術命名為“精確驗證網路釣魚”，據稱，該技術採用即時電子郵件驗證，以便只有一組選定的高價值目標才會被提供給虛假的登入畫面。

該公司表示：“這種策略不僅使威脅行為者獲得可用憑證的成功率更高，因為他們只與預先收集的特定有效電子郵件帳戶清單互動。”

與「廣撒網」憑證收集活動不同，後者通常涉及大量分發垃圾郵件，以不加區分的方式獲取受害者的登錄信息，而最新的攻擊策略將魚叉式網絡釣魚提升到一個新的水平，只與攻擊者已驗證為活躍、合法和高價值的電子郵件地址進行接觸。

在這種情況下，受害者在網路釣魚登入頁面中輸入的電子郵件地址將與攻擊者的資料庫進行驗證，然後顯示虛假的登入頁面。如果資料庫中不存在該電子郵件地址，頁面要麼傳回錯誤，要麼將使用者重新導向到維基百科等無害的頁面，以逃避安全分析。

檢查是透過將基於 API 或 JavaScript 的驗證服務整合到網路釣魚工具包中來完成的，該工具包會在繼續執行密碼擷取步驟之前確認電子郵件地址。

Cofense 表示：“它提高了攻擊的效率，並增加了被盜憑證屬於真實、活躍使用的帳戶的可能性，從而提高了收集的數據的質量，可供轉售或進一步利用。”

自動安全爬蟲和沙盒環境也難以分析這些攻擊，因為它們無法繞過驗證過濾器。這種有針對性的方法降低了攻擊者的風險，並延長了網路釣魚活動的壽命。

同時，這家網路安全公司還披露了一項電子郵件網路釣魚活動的細節，該活動使用文件刪除提醒作為誘餌來獲取憑證並傳播惡意軟體。

這種雙管齊下的攻擊利用一個嵌入的 URL，該 URL 似乎指向一個計劃從名為 files.fm 的合法文件儲存服務中刪除的 PDF 文件。如果訊息收件人點擊該鏈接，他們就會被帶到合法的 files.fm 鏈接，從那裡他們可以從下載所謂的 PDF 文件。

但是，開啟 PDF時，系統會提供使用者兩個選項：預覽或下載檔案。選擇前者的用戶將被帶到一個虛假的 Microsoft 登入螢幕，該螢幕旨在竊取他們的憑證。當選擇下載選項時，它會刪除聲稱是 Microsoft OneDrive 的可執行文件，但實際上是 ConnectWise 的 ScreenConnect 遠端桌面軟體。

Cofense表示， 「這幾乎就像是威脅行為者故意設計攻擊來誘捕用戶，迫使他們選擇要上當受騙的『毒藥』」。 “兩種選擇的結果相同，目標相似，但實現方法不同。”

這項發現還揭示了一種複雜的多階段攻擊，該攻擊結合了語音網路釣魚、遠端存取工具和離地攻擊技術，以獲取初始存取權限並建立持久性。這次活動中觀察到的間諜手段與被追蹤的Storm-1811 和 STAC5777集群一致。

Ontinue表示： 遠端存取環境。」Quick Assist「威脅行為者利用暴露的通訊管道，透過 Microsoft Teams 訊息傳遞惡意的 PowerShell 負載，然後使用