卡巴斯基示警微软用户：无代码 AI 工具被滥用成网络钓鱼“隐形外衣”

卡巴斯基发布微软用户紧急警报：无代码AI平台正沦为网络钓鱼的高级掩护

安全厂商卡巴斯基近期披露了一种利用合法无代码开发平台的新型凭证窃取攻击。攻击者正在滥用Bubble——一个广为人知的AI建站工具，来托管和分发高度仿冒的微软登录页面。这种手法大幅提升了钓鱼攻击的隐蔽性，直接威胁企业Microsoft 365账户安全。

Bubble平台允许用户通过可视化拖拽和自然语言指令构建网页应用，无需专业编程知识。该平台本身完全合法，旨在加速产品开发流程。但安全团队监测到，威胁分子正利用其服务快速部署难以被传统安全方案检测的恶意登录门户。

具体攻击链如下：攻击者通过Bubble生成外观与正版微软登录门户几乎一致的页面，并利用Cloudflare等服务的验证环节增强可信度。当用户收到钓鱼邮件并访问这些托管于bubble.io域名的页面时，输入的账号密码将被直接窃取。

凭证一旦失窃，攻击者即可全面接管受害者的Microsoft 365生态系统，无障碍访问企业邮箱、共享文档、日程及内部通信记录，引发数据泄露与商务邮件诈骗等连锁风险。

高信誉域名滥用：突破邮件安全防线的关键

此类攻击成功率高，核心在于其利用受信平台的基础设施作为掩护。所有Bubble应用均托管于其官方域名下，这使得含*.bubble.io链接的钓鱼邮件能够轻松绕过基于域名信誉的邮件安全网关和反垃圾邮件过滤器。

多数企业安全策略默认信任此类知名SaaS平台域名，这就为攻击提供了天然的“合法”通道。防御体系的这一盲点，让精心设计的钓鱼诱导内容得以直达目标收件箱。

复杂前端代码：干扰自动化安全分析的屏障

该手法的技术隐蔽性同样值得关注。Bubble平台自动生成的前端代码通常包含大量动态JavaScript与复杂的影子DOM结构，这种非标准代码架构会对自动化安全扫描与沙箱分析引擎造成严重干扰。

常规的静态代码分析工具难以有效解析此类结构，常导致误判，将其归类为设计粗糙但无害的普通网站。安全分析师需投入大量资源进行人工深度逆向，才能准确识别其恶意登录表单与数据外传代码，极大地延长了威胁响应时间。

潜在的产业化风险：或与“钓鱼即服务”模式融合

卡巴斯基评估认为，该技术存在被“钓鱼即服务”地下产业快速采纳的风险。一旦这种基于可信平台的部署方法被集成至黑产工具包，即使技术能力有限的攻击者也能发起高隐蔽性攻击。

未来，若该手法与现有PhaaS平台提供的会话劫持、MFA绕过等功能结合，将生成更具破坏性的复合型威胁。这要求企业安全团队必须提前调整防御策略，升级针对合法云服务滥用的检测能力。

参考
Bubble: a new tool for phishing scams

来源：互联网