A szokatlan Microsoft 365 adathalász kampány hamisítja az eFaxot a feltört Dynamics Voice-fiókon keresztül

Egy kidolgozott és meglehetősen szokatlan adathalász kampány magában foglalja az eFax-értesítések meghamisítását, és egy feltört Dynamics 365 Customer Voice vállalati fiók használatával, hogy az áldozatokat rávegyék a hitelesítő adataik megadására a microsoft.com oldalakon.

A Cofense adathalász védelmi központ kutatói szerint a fenyegetés szereplői több tucat vállalkozást sújtottak a széles körben terjesztett kampányon keresztül, amely a Microsoft 365 felhasználóit célozza meg a legkülönfélébb iparágakból – beleértve az energiát, a pénzügyi szolgáltatásokat, a kereskedelmi ingatlanokat, az élelmiszer-, a gyártást és még a bútorgyártást is. (PDC) egy szerdán közzétett blogbejegyzésben derült ki.

A kampány gyakori és szokatlan taktikák kombinációját alkalmazza, hogy rávegye a felhasználókat arra, hogy olyan oldalra kattintsanak, amely egy eFax szolgáltatásra vonatkozó ügyfél-visszajelzési kérdőívhez vezet, ehelyett azonban ellopja a hitelesítő adataikat.

A támadók nemcsak az eFax-ot, hanem a Microsoftot is megszemélyesítik azáltal, hogy a többlépcsős erőfeszítés különböző szakaszaiban több microsoft.com oldalon tárolt tartalmat használnak. Az átverés egyike azon adathalász kampányoknak, amelyeket a Cofense tavasz óta észlelt, és amelyek hasonló taktikát alkalmaznak – mondta Joseph Gallop, a Cofense hírszerzési elemzési menedzsere.

„Idén áprilisban jelentős számú adathalász e-mailt láttunk beágyazott ncv-vel.[.]Microsoft[.]com olyan linkeket kérdezett meg, mint amilyeneket ebben a kampányban használtak” – mondja a Dark Readingnek.

A taktika kombinációja

Az adathalász e-mailek hagyományos csalit használnak, azt állítva, hogy a címzett 10 oldalas vállalati eFaxot kapott, amely felkelti a figyelmét. De ezek után a dolgok kitérnek a ütött pályáról – magyarázta szerdai bejegyzésében Nathaniel Sagibanda, a Cofense PDC játékosa.

A címzett valószínűleg úgy nyitja meg az üzenetet, hogy az egy aláírást igénylő dokumentumhoz kapcsolódik. “De nem ezt látjuk, amikor elolvassa az üzenetet” – írta.

Ehelyett az e-mail egy csatolt, cím nélküli PDF-fájlt tartalmaz, amelyet egy faxról kézbesítettek, és amely valódi fájlt tartalmaz – a Gallop szerint az adathalász e-mailek szokatlan jellemzője.

“Míg sok hivatkozott adathalász kampány hivatkozásokat használ a tárolt fájlokhoz, néhány pedig mellékleteket, ritkábban látni, hogy egy beágyazott link mellékletként álcázza magát” – írta.

A cselekmény még mélyebbre kerül a bejegyzésben, amely egy láblécet is tartalmaz, amely jelzi, hogy a bejegyzés szerint egy felmérési oldal – mint az ügyfelek visszajelzésére használt oldalak – generálta a bejegyzést.

Ügyfélfelmérés utánzása

Amikor a felhasználók a hivatkozásra kattintanak, a rendszer átirányítja őket egy eFax megoldási oldal meggyőző utánzatára, amelyet a támadók által feltört Microsoft Dynamics 365 oldal jelenített meg.

Ez az oldal egy másik oldalra mutat, amely a jelek szerint a Microsoft Customer Voice felméréséhez vezet, hogy visszajelzést adjon az eFax szolgáltatásról, de ehelyett egy Microsoft bejelentkezési oldalra irányítja az áldozatokat, amely kiszivárog a bejelentkezési adataikat.

Az oldal legitimitásának további növelése érdekében a fenyegetettség szereplője odáig ment, hogy videót is mellékelt az eFax megoldásairól a hamisított szolgáltatás részleteire, és arra utasította a felhasználót, hogy bármilyen kérdés esetén forduljon az “@eFaxdynamic365” címhez.

Az oldal alján található „Küldés” gomb további megerősítésként szolgál arra vonatkozóan, hogy a fenyegetettség szereplője eredeti Microsoft Customer Voice visszajelzési űrlapsablont használt az átveréshez – tette hozzá.

A támadók ezután “hamis eFax-információkkal” módosították a sablont, hogy rávegyék a címzettet, hogy rákattintson a linkre, ami egy hamis Microsoft bejelentkezési oldalhoz vezetett, amely a hitelesítő adataikat a támadók által tárolt külső URL-re küldi el, írta a Sagibanda.

Egy gyakorlott szem becsapása

Míg az eredeti kampányok sokkal egyszerűbbek voltak – a Microsoft felmérésében csak minimális információ szerepelt –, az eFax-hamisítási kampány tovább erősíti a kampány legitimitását, mondja Gallop.

A többlépcsős taktikák és a kettős megszemélyesítés kombinációja lehetővé teszi, hogy az üzenetek biztonságos e-mail-átjárókon átsikljanak, és még a legokosabb üzleti felhasználókat is megtévesszék, akik képzettek az adathalász csalások észlelésére – jegyzi meg.

„Csak azok a felhasználók, akik folyamatosan ellenőrzik az URL-sávot a folyamat minden szakaszában, biztosan azonosítják ezt adathalászati ​​kísérletként” – mondja Gallop.

Valójában a Vade kiberbiztonsági cég egy szerdán közzétett tanulmánya is megállapította, hogy a márka megszemélyesítése továbbra is az adathalászok elsődleges eszköze, amellyel ráveszik az áldozatokat, hogy rosszindulatú e-mailekre kattintsanak.

A kutatók megállapították, hogy a támadók a Microsoft személyét leggyakrabban a 2022 első felében észlelt kampányokban vették át, bár a Facebook továbbra is a leginkább megszemélyesített márka az idén eddig észlelt adathalász kampányokban.

Az adathalász játék erős marad

A nyomozók még nem azonosították, ki áll a csalás hátterében, és a támadók konkrét indítékait sem lopták el a hitelesítő adatokat, mondja Gallop.

Az adathalászat általában továbbra is az egyik legegyszerűbb és legszélesebb körben használt módja annak, hogy a fenyegetés szereplői kompromittálják az áldozatokat, nemcsak a hitelesítő adatok ellopására, hanem a rosszindulatú szoftverek terjesztésére is, mivel a rosszindulatú programok lényegesen könnyebben terjednek e-mailben, mint a távoli támadások. jelentés.

Valójában az ilyen típusú támadások hónapról hónapra nőttek az év második negyedévében, majd júniusban egy újabb lendületet tapasztaltak, ami „visszatolta az e-maileket a 2022 januárja óta nem látott riasztó mennyiségre”, amikor a Vade elérte a 100-at. százalékban látott e-maileket. millió adathalász e-mail terjesztésben.

“A hackerek viszonylagos egyszerűsége miatt e-mailben büntető kibertámadásokat hajthatnak végre, az e-mailt a támadások egyik fő vektorává teszi, és állandó fenyegetést jelent a vállalkozások és a végfelhasználók számára” – írta a jelentésben Natalie Petitto, a Vade. “Az adathalász e-mailek megszemélyesítik azokat a márkákat, amelyekben a legjobban megbízik, így a potenciális áldozatok széles hálózatát és a legitimitás palástját biztosítják a márkaként kiállító adathalászok számára.”

Leave a Comment

%d bloggers like this: