微新创想:2026年3月,卡巴斯基安全团队披露了一种新型网络攻击手段。黑客利用合法无代码AI建站平台Bubble生成并托管恶意登录页,专门针对微软账户进行凭证窃取。这种攻击方式极具隐蔽性,使得用户难以察觉。
攻击者通过技术手段将用户重定向至高度仿真的微软登录界面,部分页面甚至隐藏在Cloudflare验证之后。这种伪装程度极高,使得用户误以为自己正在访问官方微软登录页面,从而放松警惕。
当受害用户输入账号和密码后,攻击者能够实时截获这些凭证,进而导致Microsoft 365邮箱、日历等敏感数据的泄露。这种攻击不仅危害个人隐私,还可能对企业信息安全造成严重威胁。
该攻击手法巧妙地利用了Bubble平台的受信任域名(*.bubble.io),从而绕过邮件安全过滤机制。同时,攻击者还采用了复杂的JavaScript代码以及影子DOM技术,以规避自动化检测工具的识别。
专家指出,这种新型攻击方式可能被‘钓鱼即服务’(PhaaS)平台所利用,实现规模化扩散。这意味着,未来类似的网络攻击可能更加频繁且难以防范,对用户和企业安全构成更大挑战。
