网络犯罪分子利用虚假的YouTube链接将用户重定向到网络钓鱼页面，通过URI操纵和分层混淆技术窃取登录凭据。

 
根据ANY.RUN网络安全分析师的最新发现，网络犯罪分子一直在利用虚假的YouTube链接将毫无戒心的用户重定向到钓鱼页面，从而窃取登录凭据。此攻击使用统一资源标识符(URI)操纵来掩盖恶意意图，同时保持真实性。

让我们仔细看看这次攻击的细节，以及了解这些技术如何能让您的公司加强对类似威胁的防护。

此次活动背后的网络犯罪分子巧妙地操纵了统一资源标识符(URI)来欺骗用户。乍一看，恶意URL似乎值得信赖，通常以看似合法的字符串开头，例如http://youtube这种方法依赖于人类倾向于信任熟悉的域名，同时隐藏链接的真实目的地。

为了了解其工作原理，让我们看一下使用ANY.RUN交互式沙盒的分析会话。通过在安全环境中安全运行恶意YouTube URL样本，可以揭示攻击的全貌。

与传统方法需要使用多种工具来分析攻击的不同阶段不同，这个沙箱可以轻松地在一个地方发现攻击链的每一步。

在接下来的分析环节中，恶意链接通过电子邮件分发。受害者收到一封电子邮件，提示他们“查看已完成的文档”，这似乎是合法的操作。然而，电子邮件中嵌入的链接已被巧妙地替换为可识别的域名，以显得值得信赖。

虽然URL乍一看很真实，但点击它后受害者会被重定向到一个钓鱼页面，该页面旨在窃取他们的登录凭据。这种微妙的操纵非常有效，利用了用户信任熟悉链接的自然倾向，使其更加危险。

在恶意内容危害您的公司之前识别它，从而节省时间和精力。ANY.RUN为安全团队提供14天免费试用，以尝试高级恶意软件分析。

除了URI操纵之外，攻击者还部署分层重定向来逃避自动化工具和用户的检测。

这些重定向通常涉及多个中间域，进一步隐藏了最终的钓鱼页面。当用户到达实际网站时，他们的警惕性通常会降低，钓鱼页面看起来几乎与合法页面难以区分。

例如，上述攻击巧妙地整合了伪造的Cloudflare验证页面，以提高其可信度。一旦受害者点击链接，他们就会看到看似例行的Cloudflare检查，其中包括加载动画和模仿合法浏览器安全流程的提示。

这层额外的欺骗旨在消除怀疑，让受害者相信他们正在浏览一个安全可靠的环境。当用户到达钓鱼页面时，他们更有可能输入登录凭据而不怀疑其真实性。

此次攻击活动与Storm1747组织有关，该组织依靠组织良好的域基础架构来实施攻击。他们的设置包括检查器、重定向器和主要钓鱼页面，所有这些都是使用Tycoon 2FA钓鱼工具包中的标准化模板构建的。

这些即用型组件使攻击者能够更轻松、快速、高效地部署大规模网络钓鱼活动。

他们的主要伎俩之一是替换URL中的用户信息字段，这是一种巧妙的策略，可以让恶意链接看起来合法。这种技术并非Storm1747独有；它也用于其他网络钓鱼工具包，如Mamba 2FA和EvilProxy，这些工具包旨在创建令人信服的虚假登录页面。

在ANY.RUN等工具中，沙盒和入侵指标(IOC)（例如恶意URL、文件哈希和IP地址）整齐地排列在界面的右上角。这种安排使分析和了解有关攻击的关键细节变得更加容易。

您可以在一个地方收集和审查所有内容，帮助企业了解攻击的工作原理以及如何更好地应对未来的类似威胁。

此类攻击表明，我们需要超越基本检测的高级工具来发现攻击的每一层。借助ANY.RUN的交互式沙盒，您无需浪费时间处理多个工具或构建复杂的设置。相反，您将获得一个强大的基于云的平台，可让您直接从浏览器检测和分析威胁。

一切设计都以方便为出发点；无需维护基础设施，无需额外软件。只需实时了解文件、链接和完整攻击链，即可随时获得。