LayerX Labs 发现,一项针对 Mac 用户的新网络钓鱼攻击活动展示了打击网络钓鱼的艰辛历程,以及攻击如何随着安全工具的适应而发生变化和转变。

过去几个月,LayerX 一直在监控一项复杂的网络钓鱼活动,该活动最初通过伪装成 Microsoft 安全警报来针对 Windows 用户。该活动的目标是通过使用欺骗手段让受害者相信他们的计算机受到了攻击,从而窃取用户凭证。

现在,随着微软、Chrome 和 Firefox 推出新的安全功能,攻击者将注意力转移到 Mac 用户身上。

第一幕:瞄准Windows用户

最初的网络钓鱼攻击涉及受感染的网站显示虚假的安全警告,声称用户的计算机已被“入侵”和“锁定”。攻击者提示用户输入他们的 Windows 用户名和密码。同时,恶意代码导致网页冻结,造成整个计算机已被锁定的假象。最初的网络钓鱼攻击涉及受感染的网站显示虚假的安全警告,声称用户的计算机已被“入侵”和“锁定”。攻击者提示用户输入他们的 Windows 用户名和密码。同时,恶意代码导致网页冻结,造成整个计算机已被锁定的假象。

 

LayerX 具有 之前曾写过关于这次活动的文章 在我们的博客。

为何这场运动难以阻止:

  1. 托管在 Microsoft 平台上 – 钓鱼页面托管在微软的 Windows.net 平台上(微软为托管 Azure 应用程序而开发的开放平台)。在攻击背景下,这使得这些消息看起来是合法的,因为它们是微软发出的安全警告(据称),来自 windows[.]net 域上的页面。
  2. 利用托管服务 – 攻击者在本案中使用的另一种常见策略是使用受信任的托管服务作为恶意页面的底层基础架构。这样做的原因是,传统的反网络钓鱼防御措施(如安全 Web 网关 (SWG) 和电子邮件安全解决方案)通常根据顶级域名 (TLD) 的域名声誉来评估页面风险。在本案中,TLD (windows[.]net) 是一个知名且使用率很高的平台,由一家信誉良好的提供商 (Microsoft) 提供,具有很高的 TLD 声誉分数。因此,这些页面能够绕过传统的保护机制。
  3. 随机、快速变化的子域 – 在 windows[.]net 的通用顶级域名下,攻击者通过随机、快速变化的子域名提供恶意代码。这意味着,即使某个页面被标记为恶意并被放置在恶意页面的 feed 中,它也会被快速删除并替换为另一个具有“干净”声誉的 URL。由于子域名 URL 高度随机,攻击者可以反复执行此操作,同时仍能保持攻击。
  4. 高度精致的设计 – 与典型的网络钓鱼页面不同,这些页面设计精良、专业且经常更新,以避免依赖已知网络钓鱼签名的安全工具检测到。
  5. 反机器人和 CAPTCHA 技术 – 在一些变体中,LayerX 发现页面代码包含反机器人和 CAPTCHA 验证。这样做是为了防止自动网络爬虫程序受到反钓鱼保护,并延迟页面被归类为恶意页面。

最终,我们成功实现了一项复杂、高效且持续多年的攻击活动。LayerX 已经跟踪该攻击活动一年多了。然而,在 2024 年末和 2025 年初,我们观察到该攻击活动的强度和规模有所增加,这证明了其有效性。

微软也注意到了这一点,并于 2025 年 XNUMX 月在 Edge 浏览器中引入了一项新的“反恐软件”功能来抵御这些攻击。大约在同一时间,Chrome 和 Firefox 中也实施了类似的保护措施。

第二幕:新保护措施让旧保护措施失效

在引入这些浏览器保护措施后,LayerX 发现针对 Windows 的攻击急剧下降了 90%。

LayerX 仍在观察一些类似的恶意页面,这意味着该活动的基础设施仍然在线。然而,用户却无法访问它。
我们认为微软(及其他公司)推出的新“反恐软件”功能可以阻止这些攻击。

第三幕:攻击活动转向 Mac 用户

然而,似乎 LayerX 并不是唯一一个观察到攻击成功率下降的公司——其背后的黑客也注意到了这一点。

他们的回应是:修改活动以针对一群不受保护的用户——在本例中是:Mac 用户。

在微软推出新的反网络钓鱼防御措施后的两周内,LayerX 开始观察到针对 Mac 用户的攻击,而这些新防御措施显然没有覆盖 Mac 用户。

 

在此之前,LayerX 尚未观察到针对 Mac 的攻击,而只观察到针对 Windows 用户的攻击。

新的网络钓鱼攻击在外观上与针对 Windows 用户的攻击几乎完全相同,但有几个关键的修改:

  • 重新设计了网络钓鱼页面布局和消息传递 对 Mac 用户来说显得合法。
  • 代码调整 利用 HTTP OS 和用户代理参数专门针对 macOS 和 Safari 用户。
  • 继续使用 Windows[.]net 基础设施,维持合法性的假象。

受害者是如何被引诱的

LayerX 的调查显示,受害者通过被入侵的域名“停放”页面被重定向到钓鱼页面:

  1. 受害者尝试访问合法网站。
  2. URL 中的拼写错误导致他们进入受损的域名停放页面。
  3. 该页面迅速将他们重定向到多个网站,然后进入网络钓鱼攻击页面。

在一个特定案例中,受害者是为 LayerX 企业客户工作的 macOS 和 Safari 用户。尽管该组织采用了安全 Web 网关 (SWG),但攻击还是绕过了它。然而,LayerX 的基于 AI 的检测系统使用超过 250 个浏览器级别的参数分析网页,在造成任何损害之前识别并阻止了恶意页面。

第四幕:战斗继续

新的针对 Mac 的攻击需要黑客对现有基础设施进行相对较少的修改——主要是文本更改和一些代码更改,以针对 MacOS 和 Safari 用户。

此次攻击活动强调了两个关键点:

  1. Mac 和 Safari 用户成为主要目标 – 虽然针对 Mac 用户的网络钓鱼活动以前也存在,但它们很少达到这种复杂程度。
  2. 网络犯罪分子的适应能力很强 – 随着安全措施的发展,攻击者不断修改他们的策略,证明组织需要先进的、主动的安全解决方案。

根据迄今为止此次攻击活动背后的参与者所表现出的持续时间、复杂性和复杂性,我们怀疑这只是他们的第一反应,因为他们正在调整攻击以适应新的防御措施。

我们预测,在未来几周或几个月内,我们将看到基于此基础设施的攻击浪潮再次兴起,因为它会探测和测试微软新防御系统的薄弱环节。

这只是最新的提醒,防止网络钓鱼和网络攻击是一场持续不断的战斗。

直到下一章……