摘要：RaccoonO365 已经存在一年多了，它以“网络钓鱼即服务”（PhaaS）模式出租给网络犯罪分子，价格在 355 美元（30 天计划）到 999 美元（90 天计划）之间。微软估计，此次行动为犯罪集团赚取了至少 10 万美元的加密货币。

微软和 Cloudflare 周二宣布，双方已联手破坏 RaccoonO365 网络钓鱼服务，该服务已被网络犯罪分子利用窃取数千名用户的凭证。

RaccoonO365 已经存在一年多了，它以“网络钓鱼即服务”（PhaaS）模式出租给网络犯罪分子，价格在 355 美元（30 天计划）到 999 美元（90 天计划）之间。微软估计，此次行动为犯罪集团赚取了至少 10 万美元的加密货币。

该钓鱼服务已在一个拥有超过 850 名成员的 Telegram 频道上进行宣传，微软认为 RaccoonO365 至少拥有 100-200 名订阅者。

RaccoonO365 允许用户创建虚假电子邮件、带有链接或二维码的附件以及钓鱼网站，旨在诱骗受害者交出他们的 Microsoft 365 用户名和密码。这些虚假电子邮件和网站看起来非常逼真，创建它们不需要任何高级技能。

据微软称，自 2024 年 7 月以来，至少有来自 94 个国家/地区的 5,000 个用户的凭证通过 RaccoonO365 被窃取。

微软和 Cloudflare 已在多个方面对 RaccoonO365 采取了行动。微软与医疗网络安全非营利组织 Health-ISAC 合作，对 RaccoonO365 运营商提起诉讼。

与 Health-ISAC 合作的原因是 RaccoonO365 已被用来攻击美国至少 20 家医疗保健组织，微软表示这“危及公共安全”，因为 RaccoonO365 网络钓鱼电子邮件经常会导致恶意软件和勒索软件，这可能会对医院造成严重影响。

除了诉讼之外，微软数字犯罪部门（DCU）还查封了 330 多个与网络钓鱼服务相关的域名，这破坏了网络犯罪分子的技术基础设施并切断了他们对受害者的访问。

Cloudflare 参与了针对 RaccoonO365 的行动，因为其自身的服务遭到滥用，包括反分析和规避。

Cloudflare解释说：“在请求传递到实际的网络钓鱼服务器之前，Cloudflare Workers 脚本会检查该请求，以确定其来自安全研究人员、自动扫描程序还是沙盒。如果发现任何可疑情况，连接就会被断开或客户端会收到错误消息，从而有效地隐藏网络钓鱼工具包。”

Cloudflare 的行动是在 9 月初的几天内进行的，网络犯罪分子试图实施一些改变作为回应。

该公司已禁止 RaccoonO365 使用的域名并向其发出网络钓鱼警告，删除了黑客使用的 Workers 脚本，并暂停了与该操作相关的用户帐户。

除了破坏 RaccoonO365 基础设施之外，微软还宣布已确定此次行动的涉嫌领导者。

嫌疑人是来自尼日利亚的程序员 Joshua Ogundipe。微软认为他编写了大部分代码，微软发布的博客文章显示，他还有几位同事协助开发、客户支持和销售。

微软已将 Ogundipe 事件通报国际执法部门。

微软博客文章：

来源：会杀毒的单反狗