文章总结： 研究人员发现针对微软Outlook用户的钓鱼团伙利用AI辅助工具包攻击，窃取凭证及地理位置并通过Telegram和Discord外泄。该工具包代码特征显示AI生成迹象，使用蘑菇表情符号标记追踪，具备模块化架构与反分析陷阱，呈现钓鱼即服务特征，建议加强邮件安全检测。 综合评分： 85 文章分类： 社会工程学,威胁情报,恶意软件,WEB安全,数据泄露

AI助攻钓鱼！新型工具包瞄准微软用户，窃取登录信息还追踪位置

看雪学苑

看雪学苑

2025年12月30日 17:59 上海

2025年3月以来，一个西班牙语钓鱼团伙持续针对微软Outlook用户开展攻击活动，所使用的精密钓鱼工具包呈现出明显的AI辅助开发痕迹。该攻击活动可通过嵌入字符串“OUTL”中的四个蘑菇表情符号这一独特标记追踪，目前已发现超过75次不同的部署记录。

据悉，该团伙通过攻击窃取受害者的电子邮件凭证，同时获取其IP地址和地理位置数据，并借助Telegram机器人和Discord网络钩子泄露所窃取的信息。这款钓鱼工具包完美模仿微软Outlook登录界面，搭配西班牙语提示，向受害者呈现极具迷惑性的验证页面。

当用户输入账号密码后，该工具包会立即通过调用api.ipify.org接口解析IP地址，并借助ipapi.co获取地理位置详情，以此丰富被盗数据的上下文信息。这一自动化侦察过程实时完成，随后工具包会将凭证打包传输给攻击者。

该攻击活动展现出极高的技术规划水平，尽管其混淆技术不断变化，但多个变体始终保持一致的操作模式。Sage Hollow研究人员正是通过发现蘑菇表情符号标记，才锁定了这一攻击活动，并以此为突破口追踪到更多部署记录。

对该工具包演变过程的分析显示，其存在多个不同变体，既有包含反分析陷阱的高度混淆脚本，也有完全未混淆、酷似AI生成模式的代码。最新名为disBLOCK.js的变体具有清晰的缩进格式、命名规范的函数，以及解释各执行阶段的西班牙语注释——这些特征均强烈指向AI辅助代码生成，而非人工开发工具。

从感染机制来看，该钓鱼工具包采用模块化架构，配置数据与执行逻辑相互分离。在早期部署中，一款名为xjsx.js的脚本充当配置容器，通过轻度数组旋转混淆方式存储Telegram机器人令牌和聊天ID。

受害者数据收集遵循固定流程：当用户通过伪造登录表单提交凭证时，工具包首先通过正则表达式验证电子邮件格式，随后触发fetchIPData函数，通过HTTPS请求外部接口收集IP和位置信息。所有变体的泄露 payload 均采用标准化格式，具体为“OUTL CORREO: [受害者邮箱] PASSWR: [受害者密码] IP: [IP地址]”，后续紧跟位置详情。

网络捕获数据显示，这些数据通过标准HTTPS POST请求传输至Telegram机器人API或Discord网络钩子端点。值得注意的是，转向Discord网络钩子是该团伙的战术升级——这类网络钩子属于只读通道，即便防御者发现了网络钩子URL，也无法获取历史泄露数据。

对工具包基础设施的分析表明，其背后存在一个服务导向型生态系统，部署层经过刻意的分区设计，但在数据泄露层面保持选择性聚合。这一特征暗示该攻击采用“钓鱼即服务”模式，不同攻击者可能在使用同一套基础工具包。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《AI助攻钓鱼！新型工具包瞄准微软用户，窃取登录信息还追踪位置》