文章总结： 自2025年3月起，一个针对微软Outlook用户的西班牙语钓鱼活动持续活跃，其工具包显示出明显AI辅助开发特征，通过嵌入蘑菇表情符号作为标识。攻击者使用高度仿真的钓鱼界面窃取邮箱凭证，并收集IP地址和地理位置数据，通过Telegram机器人和Discordwebhook外泄信息。该工具包采用模块化架构和钓鱼即服务模式，最新变种具有清晰代码结构和注释，强烈指向AI生成。 综合评分： 78 文章分类： 恶意软件,AI安全,网络钓鱼,威胁情报,安全工具

新型AI辅助开发钓鱼工具包窃取微软用户登录凭证

船山信安

2026年1月3日 19:31 湖南

在小说阅读器读本章

去阅读

自2025年3月起，一个针对微软Outlook用户的西班牙语钓鱼活动持续活跃，其使用的复杂工具包显示出明显的AI辅助开发特征。该活动通过在字符串”OUTL”中嵌入四个蘑菇表情符号作为独特标识，已在超过75个不同部署中被发现。攻击者不仅窃取邮箱凭证，还收集受害者IP地址和地理位置数据，并通过Telegram机器人和Discord webhook外泄窃取的信息。

高度仿真的钓鱼界面

该钓鱼工具包完美复刻了微软Outlook的西班牙语登录界面，向受害者展示极具迷惑性的认证页面。当用户输入凭证后，工具包会立即通过api.ipify.org进行IP解析，并调用ipapi.co获取地理位置详情，为窃取的数据添加上下文信息。这些自动化侦察行为在凭证被打包传输给攻击者之前实时完成。

技术特征与演变

The Sage Hollow研究人员通过蘑菇表情符号标识发现了该活动，这一特征成为追踪其他部署的关键线索。分析显示，该工具包存在多个变种，既有包含反分析陷阱的高度混淆脚本，也有完全未混淆、类似AI生成模式的代码。最新变种disBLOCK.js具有清晰的缩进、规范命名的函数以及解释每个执行阶段的西班牙语注释，这些特征强烈指向AI辅助代码生成而非人工开发工具。

感染机制分析

该钓鱼工具包采用模块化架构，配置数据与执行逻辑分离。在早期部署中，名为xjsx.js的脚本作为配置容器，使用轻量级数组旋转混淆技术存储Telegram机器人令牌和聊天ID。受害者数据收集遵循固定流程：当用户通过虚假登录表单提交凭证后，工具包首先使用正则表达式验证邮箱格式，随后触发fetchIPData函数，通过HTTPS请求外部API获取IP和位置信息。

所有变种的外泄数据都保持标准化格式：”OUTL CORREO: [受害者邮箱] PASSWR: [受害者密码] IP: [IP地址]”后接位置详情。网络抓包显示，数据通过标准HTTPS POST请求传输至Telegram机器人API或Discord webhook端点。转向使用Discord webhook是战术演进，这种只写通道即使URL被发现也能防止防御者获取历史外泄数据。

基础设施分析显示，该工具包采用服务导向的生态系统，部署层被刻意分隔，但在数据外泄层保持选择性汇聚，表明其采用钓鱼即服务(PhaaS)模式，不同攻击者可能使用相同的底层工具包。

来源：https://www.freebuf.com/articles/ai-security/464297.html

感谢前端小菜鸡

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 《新型AI辅助开发钓鱼工具包窃取微软用户登录凭证》