微软 Teams惊现网络钓鱼活动：黑客劫持Office 365账号 远程下载恶意软件

近日，网络安全公司Truesec公布了一份关于针对Microsoft Teams用户的网络钓鱼活动的报告。该活动被称为DarkGate Loader，攻击者利用已经泄露的Office 365账号向用户发送电子邮件，邮件附件被标注为“调整假期安排”的ZIP文件。 当用户点击ZIP文件时，附件会自动从SharePoint URL启动下载过程，该URL包含伪装成PDF文档的LNK文件。黑客成功劫持了“Akkaravit Tattamanas”（63090101@my.buu.ac.th）和“ABNER DAVID RIVERA ROJAS”（adriverar@unadvirtual.edu.co）两个账号，将恶意VBScript潜藏在LNK文件中，进而部署名为DarkGate Loader的恶意软件。 由于ZIP文件的下载过程使用了SharePoint URL，黑客利用的复杂活动使得用户很难检测到违规行为。此外，代码隐藏在文件的中间，主流杀软很难在预编译的脚本中检测恶意软件。