Eine aufwendige und eher ungewöhnliche Phishing-Kampagne fälscht E-Fax-Benachrichtigungen und nutzt ein kompromittiertes Dynamics 365 Customer Voice-Geschäftskonto, um Opfer über Microsoft.com-Seiten dazu zu verleiten, ihre Anmeldeinformationen preiszugeben.
Bedrohungsakteure haben im Rahmen der weit verbreiteten Kampagne Dutzende Unternehmen angegriffen Ziel ist Microsoft 365 Benutzer aus den unterschiedlichsten Branchen – darunter Energie, Finanzdienstleistungen, Gewerbeimmobilien, Lebensmittel, Fertigung und sogar Möbelherstellung – enthüllten Forscher des Cofense Phishing Defense Center (PDC) in einem am Mittwoch veröffentlichten Blogbeitrag.
Die Kampagne nutzt eine Kombination aus gängigen und ungewöhnlichen Taktiken, um Benutzer dazu zu verleiten, auf eine Seite zu klicken, die sie scheinbar zu einer Kundenfeedback-Umfrage für einen E-Fax-Dienst führt, stattdessen aber ihre Anmeldedaten stiehlt.
Angreifer geben sich nicht nur als eFax, sondern auch als Microsoft aus, indem sie in mehreren Phasen des mehrstufigen Angriffs Inhalte verwenden, die auf mehreren Microsoft.com-Seiten gehostet werden. Der Betrug ist eine von mehreren Phishing-Kampagnen, die Cofense seit dem Frühjahr beobachtet hat und die eine ähnliche Taktik anwenden, sagt Joseph Gallop, Intelligence Analysis Manager bei Cofense.
„Im April dieses Jahres bemerkten wir eine erhebliche Menge an Phishing-E-Mails, die eingebettete ncv[.]microsoft[.]com-Umfragelinks verwendeten, wie sie in dieser Kampagne verwendet wurden“, erzählt er Dark Reading.
Kombination von Taktiken
Die Phishing-E-Mails bedienen sich eines herkömmlichen Lockmittels und behaupten, der Empfänger habe ein 10-seitiges Unternehmens-E-Fax erhalten, das seine Aufmerksamkeit erfordert. Aber danach weichen die Dinge von den ausgetretenen Pfaden ab, erklärte Nathaniel Sagibanda von Cofense PDC im Post vom Mittwoch.
Der Empfänger wird die Nachricht höchstwahrscheinlich in der Annahme öffnen, dass sie sich auf ein Dokument bezieht, das eine Signatur benötigt. „Das ist jedoch nicht das, was wir sehen, wenn Sie den Nachrichtentext lesen“, schrieb er.
Stattdessen enthält die E-Mail scheinbar eine angehängte, unbenannte PDF-Datei, die von einem Fax zugestellt wurde, das tatsächlich eine Datei enthält – laut Gallop ein ungewöhnliches Merkmal einer Phishing-E-Mail.
„Während viele Credential-Phishing-Kampagnen Links zu gehosteten Dateien und einige Anhänge verwenden, kommt es seltener vor, dass ein eingebetteter Link als Anhang ausgegeben wird“, schrieb er.
Die Handlung verdichtet sich noch weiter unten in der Nachricht, die eine Fußzeile enthält, die darauf hinweist, dass die Nachricht laut dem Beitrag von einer Umfrageseite – wie sie zum Beispiel zur Bereitstellung von Kundenfeedback verwendet wird – generiert wurde.
Nachahmung einer Kundenumfrage
Wenn Benutzer auf den Link klicken, werden sie zu einer überzeugenden Nachbildung einer eFax-Lösungsseite weitergeleitet, die von einer Microsoft Dynamics 365-Seite gerendert wird, die von Angreifern kompromittiert wurde, so die Forscher.
Diese Seite enthält einen Link zu einer anderen Seite, die scheinbar zu einer Microsoft Customer Voice-Umfrage führt, um Feedback zum eFax-Dienst zu geben. Stattdessen führt sie die Opfer jedoch zu einer Microsoft-Anmeldeseite, die ihre Anmeldeinformationen ausspioniert.
Um die Legitimität dieser Seite weiter zu erhöhen, hat der Bedrohungsakteur sogar ein Video von eFax-Lösungen für gefälschte Dienstdetails eingebettet und den Benutzer angewiesen, sich bei Anfragen an „@eFaxdynamic365“ zu wenden, so die Forscher.
Die Schaltfläche „Senden“ unten auf der Seite dient auch als zusätzliche Bestätigung dafür, dass der Bedrohungsakteur bei dem Betrug eine echte Microsoft Customer Voice-Feedback-Formularvorlage verwendet hat, fügten sie hinzu.
Anschließend modifizierten die Angreifer die Vorlage mit „falschen eFax-Informationen, um den Empfänger zum Klicken auf den Link zu verleiten“, was zu einer gefälschten Microsoft-Anmeldeseite führte, die ihre Anmeldeinformationen an eine externe, von Angreifern gehostete URL sendet, schrieb Sagibanda.
Ein geschultes Auge täuschen
Während die ursprünglichen Kampagnen viel einfacher waren – sie enthielten nur minimale Informationen aus der Microsoft-Umfrage – geht die eFax-Spoofing-Kampagne noch einen Schritt weiter, um die Legitimität der Kampagne zu stärken, sagt Gallop.
Seine Kombination aus mehrstufigen Taktiken und doppeltem Identitätswechsel kann dazu führen, dass Nachrichten durch sichere E-Mail-Gateways gelangen und selbst die versiertesten Unternehmensbenutzer täuschen, die darin geschult sind, Phishing-Betrügereien zu erkennen, stellt er fest.
„Nur die Benutzer, die die URL-Leiste in jeder Phase des gesamten Prozesses überprüfen, können dies mit Sicherheit als Phishing-Versuch identifizieren“, sagt Gallop.
Tatsächlich, eine Umfrage des Cybersicherheitsunternehmens Vade Das wurde auch am Mittwoch veröffentlicht Markenidentität ist nach wie vor das wichtigste Tool, mit dem Phisher ihre Opfer dazu verleiten, auf bösartige E-Mails zu klicken.
Tatsächlich haben Angreifer in den im ersten Halbjahr 2022 beobachteten Kampagnen am häufigsten die Identität von Microsoft angenommen, fanden Forscher heraus, obwohl Facebook nach wie vor die am häufigsten nachgeahmte Marke in bisher beobachteten Phishing-Kampagnen in diesem Jahr ist.
Phishing-Spiel bleibt stark
Laut Gallop haben die Forscher derzeit weder herausgefunden, wer hinter dem Betrug stecken könnte, noch die konkreten Motive der Angreifer für den Diebstahl von Zugangsdaten.
Insgesamt bleibt Phishing eine der einfachsten und am häufigsten genutzten Möglichkeiten für Bedrohungsakteure, Opfer zu kompromittieren, nicht nur um Zugangsdaten zu stehlen, sondern auch Schadsoftware zu verbreiten, da E-Mail-basierte Malware deutlich einfacher zu verbreiten ist als Remote-Angriffe, so der Vade-Bericht .
Tatsächlich verzeichnete diese Art von Angriffen im zweiten Quartal des Jahres einen Anstieg gegenüber dem Vormonat und dann einen weiteren Anstieg im Juni, der „die E-Mail-Volumen wieder auf das alarmierende Volumen zurückführte, das seit Januar 2022 nicht mehr beobachtet wurde“, als Vade über 100 verzeichnete Millionen Phishing-E-Mails im Umlauf.
„Die relative Leichtigkeit, mit der Hacker bestrafende Cyberangriffe per E-Mail durchführen können, macht E-Mails zu einem der wichtigsten Angriffsvektoren und zu einer ständigen Bedrohung für Unternehmen und Endbenutzer“, schrieb Natalie Petitto von Vade in dem Bericht. „Phishing-E-Mails täuschen die Marken vor, denen Sie am meisten vertrauen, und bieten so ein breites Netz potenzieller Opfer und einen Deckmantel der Legitimität für die Phisher, die sich als Marken ausgeben.“
