新一波”幽灵钓鱼”正在突破传统邮件安全防线
导语:一起针对美国和欧洲企业的 EvilTokens 钓鱼活动暴露了一种新型邮件安全盲区:攻击页面经 AES-GCM 加密后在受害者浏览器内才解密呈现,导致传统 URL 检查无法察觉。
最近一起针对美国和欧洲企业的 EvilTokens 攻击活动正在暴露一种新的邮件安全盲区。这种"幽灵钓鱼"(ghost phishing)技术将恶意页面隐藏起来,直到它在受害者浏览器内解密后才"复活"。
对安全负责人而言,风险显而易见:传统 URL 检查可能会漏掉攻击,而 Microsoft 365 访问权限、敏感数据和响应时间早已处于风险之中。最近的一起 EvilTokens 攻击表明,钓鱼链接在初步检查时看似无害,却仍可导致 Microsoft 365 账户被接管。
该钓鱼工具包使用 Microsoft Device Code Phishing(微软设备代码钓鱼)手法,诱骗受害者完成一个合法的 Microsoft 登录流程,使其在不知情的情况下授权攻击者访问其账户。它并不需要直接窃取密码。
真正的攻击在页面于浏览器中打开之前一直保持隐藏状态。其 HTML 内容使用 AES-GCM 加密,只有在浏览器解密后,钓鱼内容才会在 DOM 中呈现出来。因此,静态 URL 检查和网络层控制可能在抓取初始响应时,看不到员工实际看到的内容。

完整的攻击流程是在 ANY.RUN 的交互式沙箱(Interactive Sandbox)中被发现的。ANY.RUN 的威胁情报显示,最近的 EvilTokens 活动主要集中在美国和欧洲,目标行业包括科技、制造、教育、银行、咨询、金融服务以及托管安全服务提供商(MSSP)。
根据 ANY.RUN 基于 15,000 家企业提交的沙箱数据,2026 年的钓鱼暴露率分别为:咨询行业 75.6%、金融服务 72.8%、制造业 71.9%、科技业 67.9%、银行业 66.7%、MSSP 66.1%。一旦一个 Microsoft 365 账户失守,就可能暴露敏感数据、引发商业邮件诈骗(BEC)与欺诈,并触发代价高昂的应急响应。攻击隐藏得越久,一个账户演变为更广泛业务事件的几率就越大。
揭露此类"幽灵钓鱼"最有效的方法,是在支持浏览器内数据检查的沙箱中打开可疑链接——分析师可以越过经过 AES-GCM 加密的响应,看到页面解密后发生的情况,并将微软设备代码回溯到 /api/device/start 端点。
EvilTokens 案例揭示了一个令人不安的事实:一封邮件可以通过检查,而真正的攻击却潜伏在浏览器内部。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/new-ghost-phishing-wave-is-breaking.html
作者:info@thehackernews.com (The Hacker News)

