Microsoft: с июля 2020 года активна Evasive Office 365 фишинговая кампания

28
Взломанные сайты подталкивают TeamViewer с помощью оповещения о поддельном сертификате с истекшим сроком действия

Microsoft заявляет, что в течение года и очень уклончивой кампании целевого фишинга, клиенты Office 365 подверглись многочисленным атакам, начиная с июля 2020 года.

Продолжающаяся фишинговая кампания побуждает жертв передать свои учетные данные Office 365 с использованием вложений XLS.HTML в тематике счетов-фактур и различной информации о потенциальных жертвах, такой как адреса электронной почты и логотипы компаний.

Это предполагает, что злоумышленники собирают данные о своих целях на этапе разведки атаки, повышая эффективность кампании с помощью социальной инженерии.

«Основная цель этой кампании – собрать имена пользователей, пароли и – в более поздней версии – другую информацию, такую ​​как IP-адрес и местоположение, которые злоумышленники используют в качестве начальной точки входа для последующих попыток проникновения», – пояснила группа аналитики угроз Microsoft 365 Defender. .

Постоянно развивающаяся тактика уклонения

Однако эта серия атак отличается от других тем, что злоумышленники постоянно пытаются запутать свои фишинговые электронные письма, чтобы обойти решения для защиты электронной почты.

«В случае этой фишинговой кампании эти попытки включают использование механизмов многоуровневого обфускации и шифрования для известных существующих типов файлов, таких как JavaScript. Многослойное обфускация в HTML также может обойти решения безопасности браузера», – добавила Microsoft.

Вложения xls.HTML или xslx.HTML, прилагаемые к этим фишинговым сообщениям электронной почты, разделены на несколько сегментов, закодированных с использованием различных методов, чтобы выглядеть безвредными и обходить меры безопасности электронной почты.

Как сообщила Microsoft, сегменты, доставляемые в почтовые ящики адресатов с целевыми фишинговыми письмами, включают:

  • Сегмент 1 – адрес электронной почты цели
  • Сегмент 2 – логотип целевой организации пользователя из logo [.] Clearbit [.] Com, i [.] Gyazo [.] Com или api [.] Statvoo [.] Com; если логотип недоступен, этот сегмент загружает вместо него логотип Microsoft Office 365.
  • Сегмент 3 – сценарий, загружающий изображение размытого документа, указывающее на то, что время входа предположительно истекло.
  • Сегмент 4. Сценарий, предлагающий пользователю ввести свой пароль, отправляет введенный пароль в удаленный набор для фишинга и отображает для пользователя поддельную страницу с сообщением об ошибке.

На протяжении всей кампании злоумышленники меняли механизмы кодирования, чтобы избежать обнаружения, используя разные методы для каждого сегмента и переключаясь между открытым текстом HTML-кодом, экранированием, символами Base64, ASCII и даже кодом Морзе. 

Если цель обманом запустить вредоносное вложение, оно отобразит поддельное диалоговое окно входа в Office 365 поверх размытого документа Excel в веб-браузере жертвы по умолчанию.

Это поле входа в систему, которое также содержит адреса электронной почты целей и логотип их компании, просит их повторно ввести свои пароли для доступа к размытому документу, поскольку их сеанс входа в систему предположительно истек.

Если цель вводит свой пароль, сценарий немедленно отображает предупреждение о том, что отправленный пароль неверен, и отправляет пароль и другие собранные пользовательские данные в набор для фишинга злоумышленника.

“В ходе нашего годичного расследования [этой] целевой фишинг-кампании XLS.HTML на тему счетов-фактур злоумышленники меняли механизмы обфускации и шифрования в среднем каждые 37 дней, демонстрируя высокую мотивацию и умение постоянно уклоняться от обнаружения и поддерживать операцию кражи учетных данных. , “Добавила Microsoft.

«Эта фишинговая кампания является примером современной электронной угрозы: сложной, ускользающей и постоянно развивающейся».

Microsoft также предупредила в марте о фишинговой операции, в результате которой с декабря 2020 года было украдено около 400000 учетных данных OWA и Office 365 и расширено за счет злоупотребления новыми законными службами для обхода безопасных шлюзов электронной почты (SEG).

В конце января компания также предупредила подписчиков Microsoft Defender ATP о росте числа фишинговых атак по согласию (также известных как фишинг OAuth), нацеленных на удаленных сотрудников.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here