En udførlig og ret usædvanlig phishing-kampagne spoofer eFax-meddelelser og bruger en kompromitteret Dynamics 365 Customer Voice-virksomhedskonto til at lokke ofre til at opgive deres legitimationsoplysninger via microsoft.com-sider.
Trusselsaktører har ramt snesevis af virksomheder gennem den bredt udbredte kampagne, som er rettet mod Microsoft 365 brugere fra en bred vifte af sektorer - herunder energi, finansielle tjenesteydelser, kommerciel ejendom, mad, produktion og endda møbelfremstilling, afslørede forskere fra Cofense Phishing Defence Center (PDC) i et blogindlæg offentliggjort onsdag.
Kampagnen bruger en kombination af almindelige og usædvanlige taktikker til at lokke brugere til at klikke på en side, der ser ud til at føre dem til en kundefeedback-undersøgelse for en eFax-tjeneste, men stjæler i stedet deres legitimationsoplysninger.
Angribere efterligner ikke kun eFax, men også Microsoft ved at bruge indhold, der er hostet på flere microsoft.com-sider i flere faser af flertrinsindsatsen. Fidusen er en af en række phishing-kampagner, som Cofense har observeret siden foråret, der bruger en lignende taktik, siger Joseph Gallop, leder af efterretningsanalyse hos Cofense.
"I april i år begyndte vi at se en betydelig mængde phishing-e-mails, der bruger indlejrede ncv[.]microsoft[.]com-undersøgelseslinks af den slags, der bruges i denne kampagne," siger han til Dark Reading.
Kombination af taktik
Phishing-e-mails bruger et konventionelt lokkemiddel, der hævder, at modtageren har modtaget en 10-siders corporate eFax, der kræver hans eller hendes opmærksomhed. Men tingene afviger fra den slagne vej derefter, forklarede Cofense PDC's Nathaniel Sagibanda i Onsdags indlæg.
Modtageren vil højst sandsynligt åbne meddelelsen og forvente, at den er relateret til et dokument, der kræver en signatur. "Det er dog ikke det, vi ser, når du læser meddelelsesteksten," skrev han.
I stedet indeholder e-mailen, hvad der ligner en vedhæftet, unavngiven PDF-fil, der er blevet leveret fra en fax, der indeholder en faktisk fil - en usædvanlig egenskab ved en phishing-e-mail, ifølge Gallop.
"Mens mange phishing-kampagner med legitimationsoplysninger bruger links til hostede filer, og nogle bruger vedhæftede filer, er det mindre almindeligt at se et indlejret link posere som en vedhæftet fil," skrev han.
Plottet tykner endnu længere nede i beskeden, som indeholder en sidefod, der angiver, at det var et undersøgelsessted - såsom dem, der blev brugt til at give kundefeedback - der genererede beskeden, ifølge indlægget.
Efterligner en kundeundersøgelse
Når brugere klikker på linket, ledes de til en overbevisende efterligning af en eFax-løsningsside gengivet af en Microsoft Dynamics 365-side, der er blevet kompromitteret af angribere, sagde forskere.
Denne side indeholder et link til en anden side, som ser ud til at føre til en Microsoft Customer Voice-undersøgelse for at give feedback om eFax-tjenesten, men i stedet fører ofrene til en Microsoft-loginside, der eksfiltrerer deres legitimationsoplysninger.
For yderligere at øge legitimiteten på denne side gik trusselsaktøren så langt som til at indlejre en video af eFax-løsninger til forfalskede servicedetaljer, og instruerede brugeren om at kontakte "@eFaxdynamic365" med eventuelle forespørgsler, sagde forskere.
"Send"-knappen nederst på siden tjener også som yderligere bekræftelse af, at trusselsaktøren brugte en ægte Microsoft Customer Voice-feedbackformularskabelon i fidusen, tilføjede de.
Angriberne ændrede derefter skabelonen med "forfalskede eFax-oplysninger for at lokke modtageren til at klikke på linket", hvilket fører til en falsk Microsoft-loginside, der sender deres legitimationsoplysninger til en ekstern URL, der hostes af angribere, skrev Sagibanda.
Narre et trænet øje
Mens de oprindelige kampagner var meget enklere - inklusive kun minimal information hostet på Microsoft-undersøgelsen - går eFax spoofing-kampagnen længere for at styrke kampagnens legitimitet, siger Gallop.
Dens kombination af flertrins taktik og dobbelt efterligning kan tillade beskeder at slippe gennem sikre e-mail-gateways samt narre selv de mest kyndige virksomhedsbrugere, der er blevet trænet til at opdage phishing-svindel, bemærker han.
"Kun de brugere, der fortsætter med at tjekke URL-linjen på hvert trin gennem hele processen, vil være sikre på at identificere dette som et phishing-forsøg," siger Gallop.
Faktisk en undersøgelse foretaget af cybersikkerhedsfirmaet Vade også udgivet onsdag fandt, at mærkeefterligning fortsætter med at være det bedste værktøj, som phishere bruger til at narre ofre til at klikke på ondsindede e-mails.
Faktisk påtog angribere Microsofts persona oftest i kampagner observeret i første halvdel af 2022, fandt forskere, selvom Facebook fortsat er det mest efterlignede brand i phishing-kampagner, der er observeret hidtil i år.
Phishing-spil forbliver stærkt
Forskere har på nuværende tidspunkt ikke identificeret, hvem der kan stå bag fidusen, og heller ikke angribernes specifikke motiver for at stjæle legitimationsoplysninger, siger Gallop.
Phishing er generelt stadig en af de nemmeste og mest brugte måder for trusselsaktører at kompromittere ofre, ikke kun for at stjæle legitimationsoplysninger, men også for at sprede ondsindet software, da e-mail-båret malware er betydeligt nemmere at distribuere end fjernangreb, ifølge Vade-rapporten .
Denne type angreb oplevede faktisk stigninger fra måned til måned gennem årets andet kvartal og derefter endnu et løft i juni, der skubbede "e-mails tilbage til de alarmerende mængder, der ikke er set siden januar 2022", da Vade så op mod 100 plus millioner phishing-e-mails i distribution.
"Den relative lethed, hvormed hackere kan levere straffende cyberangreb via e-mail, gør e-mail til en af de bedste vektorer for angreb og en konstant trussel for virksomheder og slutbrugere," skrev Vades Natalie Petitto i rapporten. "Phishing-e-mails efterligner de mærker, du stoler mest på, og tilbyder et bredt net af potentielle ofre og en kappe af legitimitet for phishere, der udgiver sig for at være mærker."
