3 月 26 日消息,卡巴斯基安全团队披露新型网络攻击手段,黑客正利用无代码 AI 建站平台 Bubble 生成并托管恶意网页应用,专门用于盗取微软账户凭证。
注:Bubble 是一种允许用户无需编写代码,仅通过可视化界面或自然语言描述即可快速构建网页应用程序的合法商业平台。
黑客通过这种方式将用户重定向至高度伪装的微软登录门户,这些假冒页面有时还会刻意隐藏在 Cloudflare 的安全验证背后。
一旦用户在这些页面输入账号密码,黑客便能轻易获取凭证,进而肆意访问受害者的电子邮件、日历及其他存储在 Microsoft 365 中的敏感数据。
这种新型钓鱼手段之所以能频频得手,主要归功于巧妙滥用合法平台。Bubble 作为一个由 AI 驱动的无代码开发平台,支持用户通过自然语言描述自动生成应用的前后端逻辑。
生成的应用会统一托管在 Bubble 的基础设施及受信任的域名(*.bubble.io)下。电子邮件安全防护系统通常不会将此类高信誉域名标记为潜在威胁,因此包含这些链接的钓鱼邮件能够轻松穿透拦截网,直接送达目标用户的收件箱。
除了利用受信任的域名,这种攻击在底层代码层面也具备极强的反侦察能力。卡巴斯基研究人员指出,由 Bubble 平台自动生成的代码本质上是大量复杂 JavaScript 与孤立影子 DOM(文档对象模型)结构的混合体。
常规的静态扫描和自动化网页代码分析算法在处理这些庞杂的代码时往往会陷入逻辑混乱,最终错误地将其判定为功能正常的实用网站。即便是经验丰富的安全专家,也需要耗费大量精力进行深度逆向分析,才能看透其真实的恶意目的。
研究人员警告,该策略未来极有可能被“钓鱼即服务”(PhaaS)黑产平台大规模采纳,并被无缝整合到低阶网络罪犯广泛使用的傻瓜式钓鱼工具包中。
鉴于这些黑产平台目前已经集成了会话 Cookie 盗取、绕过双重认证(2FA)等高级技术,滥用合法 AI 平台的加入无疑将使防御难度呈指数级上升。
参考
Bubble: a new tool for phishing scams
