HackerNews 编译，转载请注明出处：

微软追踪的财务动机威胁行为体Storm-2755正在劫持加拿大员工账户，在薪资重定向（又称”薪资海盗”）攻击中窃取工资。

攻击者使用恶意Microsoft 365登录页面，通过将受害者重定向至托管恶意网页的域名（如bluegraintours[.]com）窃取认证令牌和会话cookie。这些网页通过恶意广告或SEO投毒被推至搜索引擎结果顶部，伪装成Microsoft 365登录表单。

这使Storm-2755能够在中间人（AiTM）攻击中通过重放窃取的会话令牌而非重新认证，绕过多因素认证（MFA）。

微软解释：”AiTM框架不仅收集用户名和密码，还实时代理整个认证流程，捕获成功认证后发放的会话cookie和OAuth访问令牌。由于这些令牌代表完全认证的会话，威胁行为体可重用它们访问微软服务，无需提示输入凭证或MFA，有效绕过未设计为防钓鱼的传统MFA保护。”

获取员工账户访问权限后，攻击者创建收件箱规则，自动将人力资源人员包含”直接存款”或”银行”字样的邮件移至隐藏文件夹，阻止受害者查看通信。

下一阶段，他们搜索”薪资”、”人力资源”、”直接存款”和”财务”，然后向人力资源人员发送主题为”关于直接存款的问题”的邮件，诱骗员工更新银行信息。

社交工程失败时，攻击者直接使用窃取的会话登录Workday等人力资源软件平台，手动更新直接存款详情。

为强化对AiTM和薪资海盗攻击的防御，微软建议防御者阻止传统认证协议，实施防钓鱼MFA。若检测到任何入侵迹象，还应立即撤销受损令牌和会话，删除恶意收件箱规则，重置所有受影响账户的MFA方法和凭证。

去年，FBI互联网犯罪投诉中心（IC3）记录超过2.4万起BEC欺诈投诉，损失超过30亿美元，成为仅次于投资诈骗的第二 lucrative 犯罪类型。

---

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文