IT之家 3 月 26 日消息,卡巴斯基安全团队披露新型网络攻击手段,黑客正利用无代码 AI 建站平台 Bubble 生成并托管恶意网页应用,专门用于盗取微软账户凭证。IT之家注:Bubble 是一种允许用户无需编写代码,仅通过可视化界面或自然语言描述即可快速构建网页应用程序的合法商业平台。黑客通过这种方式将用户重定向至高度伪装的微软登录门户,这些假冒页面有时还会刻意隐藏在 Cloudflare 的安全验证背后。一旦用户在这些页面输入账号密码,黑客便能轻易获取凭证,进而肆意访问受害者的电子邮件、日历及其他存储在 Microsoft 365 中的敏感数据。这种新型钓鱼手段之所以能频频得手,主要归功于巧妙滥用合法平台。Bubble 作为一个由 AI 驱动的无代码开发平台,支持用户通过自然语言描述自动生成应用的前后端逻辑。生成的应用会统一托管在 Bubble 的基础设施及受信任的域名(*.bubble.io)下。电子邮件安全防护系统通常不会将此类高信誉域名标记为潜在威胁,因此包含这些链接的钓鱼邮件能够轻松穿透拦截网,直接送达目标用户的收件箱。除了利用受信任的域名,这种攻击在底层代码层面也具备...