FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

自2025年3月起，一个针对微软Outlook用户的西班牙语钓鱼活动持续活跃，其使用的复杂工具包显示出明显的AI辅助开发特征。该活动通过在字符串"OUTL"中嵌入四个蘑菇表情符号作为独特标识，已在超过75个不同部署中被发现。攻击者不仅窃取邮箱凭证，还收集受害者IP地址和地理位置数据，并通过Telegram机器人和Discord webhook外泄窃取的信息。

高度仿真的钓鱼界面

该钓鱼工具包完美复刻了微软Outlook的西班牙语登录界面，向受害者展示极具迷惑性的认证页面。当用户输入凭证后，工具包会立即通过api.ipify.org进行IP解析，并调用ipapi.co获取地理位置详情，为窃取的数据添加上下文信息。这些自动化侦察行为在凭证被打包传输给攻击者之前实时完成。

技术特征与演变

The Sage Hollow研究人员通过蘑菇表情符号标识发现了该活动，这一特征成为追踪其他部署的关键线索。分析显示，该工具包存在多个变种，既有包含反分析陷阱的高度混淆脚本，也有完全未混淆、类似AI生成模式的代码。最新变种disBLOCK.js具有清晰的缩进、规范命名的函数以及解释每个执行阶段的西班牙语注释，这些特征强烈指向AI辅助代码生成而非人工开发工具。

感染机制分析

该钓鱼工具包采用模块化架构，配置数据与执行逻辑分离。在早期部署中，名为xjsx.js的脚本作为配置容器，使用轻量级数组旋转混淆技术存储Telegram机器人令牌和聊天ID。受害者数据收集遵循固定流程：当用户通过虚假登录表单提交凭证后，工具包首先使用正则表达式验证邮箱格式，随后触发fetchIPData函数，通过HTTPS请求外部API获取IP和位置信息。

所有变种的外泄数据都保持标准化格式："OUTL CORREO: [受害者邮箱] PASSWR: [受害者密码] IP: [IP地址]"后接位置详情。网络抓包显示，数据通过标准HTTPS POST请求传输至Telegram机器人API或Discord webhook端点。转向使用Discord webhook是战术演进，这种只写通道即使URL被发现也能防止防御者获取历史外泄数据。

基础设施分析显示，该工具包采用服务导向的生态系统，部署层被刻意分隔，但在数据外泄层保持选择性汇聚，表明其采用钓鱼即服务(PhaaS)模式，不同攻击者可能使用相同的底层工具包。

参考来源：

New Phishing Kit with AI-assisted Development Attacking Microsoft Users to Steal Logins

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）