文章总结： KnowBe4ThreatLabs发现攻击者利用Evernote合法基础设施分发高保真Microsoft凭据收集器，通过Base44AI平台构建专业钓鱼页面绕过安全检测。攻击流程包含财务诱饵邮件、Evernote域名认证、多阶段重定向和像素级M365登录界面，有效利用声誉劫持和沙箱规避技术。文档提供了相关IOCs用于威胁检测。 综合评分： 82 文章分类： 威胁情报,网络安全,恶意软件,渗透测试,安全意识

钓鱼警报：通过 Evernote 的 AI 驱动“氛围编码”钓鱼攻击

Khan安全团队

2026年5月17日 18:29 海南

在小说阅读器读本章

去阅读

KnowBe4 ThreatLabs 正在跟踪一个活跃的活动，该活动利用 Evernote 的合法基础设施来分发高保真 Microsoft 凭据收集器。此次攻击突显了一个不断变化的格局：威胁行为者现在利用 Base44，一个 AI“氛围编码”平台，来构建复杂的钓鱼页面，而无需编写一行代码。

攻击流程

诱饵：用户收到一封“与您共享的笔记”电子邮件，其中包含高压力的财务诱饵——付款批准、合同或财务报告。

绕过：这些电子邮件从 no-reply[@]mail[.]evernote[.]com 发送，通过 SPF/DKIM/DMARC 认证畅通无阻。

桥梁：链接指向真实的 share.evernote[.]com 笔记，其中包含“查看文档”行动号召。

AI 转折：该行动号召指向一个使用 Base44 AI（一个 AI“氛围编码”平台）构建的钓鱼页面。这些页面受 Cloudflare 机器人检查保护，以规避沙箱检测。

致命一击：一个像素级完美的 M365 登录屏幕，旨在实时收集凭据。

为什么有效：

✓ 声誉劫持：发件人和初始主机是合法的 Evernote 域名。

✓ AI 速度：Base44 允许攻击者即时创建独特、专业级别的页面。

✓ 沙箱规避：多阶段重定向隐藏最终负载，避开自动化扫描器。

入侵指标 (IOCs)

ashrafreda[.]comatomicurl[.]comvoice0356[.]ustechformulagrayfellowshipinvestments[.]tvwpotalsources[.]vueasywaytech[.]co[.]keenthusiastic-secure-link-go[.]base44[.]appfreight-sync-link[.]base44[.]applogin[.]yum[.]homesoffice[.]cotiviti[.]tophticybernetics[.]com[.]sharepoint[.]com/s/finance/Eba1berenzweiglaw[.]com[.]sharepoint[.]com/:f:/s/finance/Eba1serviceamericanreprographicscompany[.]golkppdmansachs[.]vu/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 《钓鱼警报：通过 Evernote 的 AI 驱动“氛围编码”钓鱼攻击》