文章总结： 一种新型浏览器内浏览器网络钓鱼攻击利用伪造的OAuth登录窗口窃取Microsoft365凭证，该攻击通过可定制化弹窗模拟真实系统对话框并具备反分析能力。研究发现此类攻击可绕过传统多因素认证，建议组织结合用户培训、条件访问策略及直接输入官网地址等方式进行防御。 综合评分： 82 文章分类： 网络钓鱼,社会工程学,安全意识,漏洞分析,威胁情报

新型BitB钓鱼攻击针对Microsoft 365登录

爱拍照的老李 爱拍照的老李

爱拍照的老李

2026年6月10日 09:00 湖北

在小说阅读器读本章

去阅读

导读

一种新的浏览器内浏览器 (BitB) 网络钓鱼活动正在利用伪造的 OAuth 登录窗口窃取 Microsoft 365 凭据，其设计非常精良，足以绕过简单的目视检查。

该攻击使用可拖动的弹出窗口，模拟真实的浏览器对话框。然而，它嵌入在页面本身中，并搭配伪造的 Microsoft OAuth URL，使登录流程看起来合法。

研究人员将BitB 描述为一种网络钓鱼方法，它使用常见的网络技术在网页内渲染一个虚假的登录窗口，而不是打开一个真正的浏览器窗口。

在这个攻击活动中，弹窗并非只是装饰性的；它会根据受害者的操作系统和浏览器特征进行定制，使用户感觉它与设备本身融为一体。这样一来，窗口看起来就像是浏览器自带的，而实际上它是攻击者网页的一部分。

该活动还包括反分析控制措施，这表明网络钓鱼行动更加成熟。

它可以阻止调试尝试，将代码中的关键词分割成碎片以降低被检测的风险，还可以将自动机器人程序重定向到其他恶意内容。这些防御手段有助于该操作躲避扫描器、沙箱系统和研究人员的检测。

这种网络钓鱼方式之所以有效，是因为它利用了用户对熟悉的 OAuth 流程和微软品牌的信任。

据 Unit42 称，许多用户现在希望看到 Microsoft 365、Google 和其他身份提供商的弹出式登录，以便逼真的窗口能够绕过本能的审查。

一旦受害者输入密码，攻击者就能立即获取凭据。

更大的风险在于，虚假窗口还可以收集会话数据，并绕过关于 MFA 安全性的薄弱假设，实现实时安全。

微软安全指南仍然强调举报可疑邮件和使用内置的防钓鱼保护功能，但BitB事件表明，仅仅依靠视觉信任是不够的。最终，这场攻击活动的目标是同时打击人的判断和安全工具。

此次攻击是针对微软、Facebook 和其他主要服务的更广泛的基于浏览器的身份网络钓鱼攻击浪潮的一部分。最近的报告还显示，攻击者滥用合法的微软相关登录流程和联合身份验证组件，将受害者诱入凭证窃取链。

攻击模式始终如一：攻击者正从粗糙的虚假页面转向高度逼真的登录体验，以模仿真实的页面。最重要的防御转变是转向防钓鱼身份验证，特别是基于密码和 WebAuthn 的登录方法。传统的 MFA 仍然有所帮助，但它并不能完全解决代理或实时模拟登录体验的攻击。

使用 Microsoft 365 的组织应将用户培训与条件访问、域验证检查和积极的报告工作流程相结合。

一个实际的测试方法是：登录弹出窗口是否可以拖出浏览器窗口，或者其行为是否像真正的系统对话框一样。

如果它卡在页面内、无法触发密码管理器，或者出现在可疑的 URL 下，请将其视为恶意程序。

用户还应该直接输入地址打开 Microsoft 365 登录页面，而不是点击嵌入的登录链接。

简言之，这不是一个简单的钓鱼页面；这是一个精心设计的凭证窃取活动，利用了用户对浏览器的熟悉程度和使用习惯。

新闻链接：

New BitB Phishing Attack Targets Microsoft 365 Logins

今日安全资讯速递

APT事件

Advanced Persistent Threat

1. 新型BitB钓鱼攻击针对Microsoft 365登录

一种新的浏览器内浏览器 (BitB) 网络钓鱼活动正在利用伪造的 OAuth 登录窗口窃取 Microsoft 365 凭据，其设计非常精良，足以绕过简单的目视检查。

🔗https://gbhackers.com/new-bitb-phishing-attack/

2. WhatsApp阻止与NSO集团相关的Pegasus间谍软件活动

WhatsApp已挫败了一场与NSO Group相关的新间谍软件活动，NSO Group是备受争议的监控供应商，Pegasus间谍软件即出自该公司；这一披露凸显了NSO Group持续针对用户的企图。

🔗https://gbhackers.com/whatsapp-blocks-pegasus-spyware-campaign/

一般威胁事件

General Threat Incidents

1. 超过100个NPM、PyPI包在新的Shai-Hulud供应链攻击中遭攻击

供应链威胁安全研究人员警告称， Shai-Hulud供应链攻击的新版本已经影响了 NPM 和 PyPI 生态系统中的 100 多个软件包。

🔗https://www.securityweek.com/over-100-npm-pypi-packages-hit-in-new-shai-hulud-supply-chain-attacks/

2. 2026年5月全球网络攻击有所缓解，但Ransomware激增48%

2026年5月，全球网络攻击活动较4月份的急剧反弹有所缓和，但其基本趋势仍难以令人真正安心。各组织机构平均每周遭受2055次网络攻击，同比增长2%，环比短期下降7%。

🔗https://blog.checkpoint.com/research/global-cyber-attacks-ease-in-may-2026-but-ransomware-surges-48-as-threats-reorganize/

3. 缅因州政府门户列出1000万条Discord数据泄露通知，但文件显示警示信号

缅因州总检察长门户网站列出了一份Discord数据泄露通知，称有1000万人受影响，但奇怪的备案细节使其未经验证且存在疑问。

🔗https://hackread.com/maine-govt-portal-discord-data-breach-notice/

4. 黑客在凭据钓鱼攻击中利用ChatGPT、Claude、DeepSeek品牌

威胁行为者正日益利用全球对大型语言模型和生成式人工智能的迷恋，冒充主要人工智能品牌 ChatGPT、Anthropic 的 Claude、DeepSeek 等，诱骗用户泄露凭证、支付信息并安装恶意软件。

🔗https://gbhackers.com/ai-brands-exploited/

5. 法国政府消息平台因账户劫持遭入侵

法国当局正在调查政府安全通讯平台 Tchap 遭到入侵的事件，黑客劫持了一个用户帐户并访问了公共聊天室。Tchap是法国政府面向公务员、各部委和公共机构的即时通讯平台。它基于开源的Matrix协议构建，旨在确保政府通信使用法国政府管理的基础设施。

🔗https://www.helpnetsecurity.com/2026/06/09/tchap-french-government-secure-messaging-platform-breach/

漏洞事件

Vulnerability Incidents

1. Google修复2026年第五个被主动利用的Chrome 0day漏洞

Google 修复了 Chrome V8 JavaScript 引擎中一个新的0day漏洞（编号为 CVE-2026-11645），该漏洞已被实际利用。

🔗https://securityaffairs.com/193371/hacking/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2026.html

2. CISA警告：LiteLLM漏洞正遭主动攻击（CVE-2026-42271）

美国网络安全与基础设施安全局（CISA）周一证实，BerryAI的LiteLLM开源AI网关中存在一个命令注入漏洞（CVE-2026-42271），攻击者正在利用该漏洞，并将其添加到已知被利用漏洞目录中。

🔗https://www.helpnetsecurity.com/2026/06/09/litellm-vulnerability-under-active-attack-cisa-warns-cve-2026-42271/

3. Veeam Backup & Replication的RCE漏洞允许域用户执行远程代码

Veeam已发布安全补丁，以解决其Backup & Replication软件中的一个关键漏洞，该漏洞可能导致远程代码执行。

🔗https://thehackernews.com/2026/06/veeam-backup-replication-rce-flaw-lets.html

4. FFmpeg中存在21个0day漏洞，可导致远程代码执行攻击

一个自主安全代理在FFmpeg（全球部署最广泛的媒体处理库）中发现了21个零日漏洞，其中包括一个可导致RCE的关键堆缓冲区溢出漏洞，仅需一个183字节的网络数据包即可触发。FFmpeg在浏览器、流媒体平台、监控系统和云基础设施中支持媒体处理.

🔗https://cybersecuritynews.com/21-0-day-vulnerabilities-in-ffmpeg/

5. 严重phpBB漏洞允许攻击者通过一次请求劫持任意账户

关键的phpBB身份验证绕过漏洞允许攻击者通过一个请求劫持任意账户。

🔗https://www.infosecurity-magazine.com/news/phpbb-authentication-bypass/

6. CVE-2026-23111：Linux nf_tables漏洞可实现root权限利用

Linux内核的nf_tables漏洞允许本地用户通过逻辑错误导致的use-after-free获取root权限；补丁仅移除了一个“!”。CVE-2026-23111存在于nf_tables（Linux内核的数据包过滤框架）中。Exodus Intelligence研究员Oliver Sieber在2025年初发现了该漏洞，并将其链化为完整的本地权限提升。

🔗https://securityaffairs.com/193352/hacking/cve-2026-23111-linux-nf_tables-flaw-enables-root-exploits.html

7. 微软2026年6月补丁日修复198个漏洞，包括3个0day漏洞

微软发布2026年6月补丁日安全更新，针对其产品生态系统中的198个漏洞进行了修复。此次6月更新不仅数量庞大，还因包含三个在修复方案发布前已被主动利用或公开披露的零日（zero-day）漏洞而备受关注。

🔗https://cybersecuritynews.com/microsoft-patch-tuesday-june-2026/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 爱拍照的老李 爱拍照的老李《新型BitB钓鱼攻击针对Microsoft 365登录》