Kidolgozott és meglehetősen szokatlan adathalász kampány hamisítja az eFax értesítéseket, és egy feltört Dynamics 365 Customer Voice üzleti fiókot használ, hogy a microsoft.com oldalakon keresztül rávegye az áldozatokat, hogy adják fel hitelesítési adataikat.
A fenyegetés szereplői több tucat vállalatot sújtottak a széles körben elterjedt kampányon keresztül, ami az célozva a Microsoft 365-öt A Cofense Phishing Defense Center (PDC) kutatói szerdán közzétett blogbejegyzésükben a különböző szektorok – köztük az energia, a pénzügyi szolgáltatások, a kereskedelmi ingatlanok, az élelmiszeripar, a gyártás és még a bútorgyártás – területéről is érkeznek felhasználók.
A kampány gyakori és szokatlan taktikák kombinációját alkalmazza, hogy rávegye a felhasználókat, hogy olyan oldalra kattintsanak, amely egy eFax szolgáltatásra vonatkozó ügyfél-visszajelzési felméréshez vezet, ehelyett azonban ellopja a hitelesítő adataikat.
A támadók nemcsak az eFax-ot, hanem a Microsoftot is megszemélyesítik azáltal, hogy a többlépcsős erőfeszítés több szakaszában több microsoft.com oldalon tárolt tartalmat használnak. Az átverés egyike azoknak az adathalász kampányoknak, amelyeket a Cofense tavasz óta megfigyel, és amelyek hasonló taktikát alkalmaznak – mondja Joseph Gallop, a Cofense hírszerzési elemzési menedzsere.
„Idén áprilisban jelentős mennyiségű adathalász e-mailt kezdtünk látni a kampányban használt beágyazott ncv[.]microsoft[.]com felmérési linkek használatával” – mondja a Dark Readingnek.
Taktika kombinációja
Az adathalász e-mailek hagyományos csalást használnak, és azt állítják, hogy a címzett 10 oldalas vállalati e-faxot kapott, amely felhívja a figyelmet. De a dolgok ezután eltérnek a kitaposott útról – magyarázta Nathaniel Sagibanda, a Cofense PDC munkatársa. szerdai poszt.
A címzett valószínűleg megnyitja az üzenetet, és azt várja, hogy egy aláírásra szoruló dokumentumhoz kapcsolódik. „Azonban nem ezt látjuk, amikor az üzenet szövegét olvassa” – írta.
Ehelyett az e-mail egy csatolt, névtelen PDF-fájlt tartalmaz, amely egy faxról érkezett, amely tényleges fájlt tartalmaz – a Gallop szerint az adathalász e-mailek szokatlan jellemzője.
"Míg sok hitelesítő adathalász kampány használ hivatkozásokat a tárolt fájlokhoz, és vannak olyanok is, amelyek mellékleteket használnak, ritkábban fordul elő, hogy egy beágyazott link csatolmányként jelenik meg" - írta.
A cselekmény még lejjebb sűrűsödik az üzenetben, amely egy láblécet tartalmaz, amely jelzi, hogy a bejegyzés szerint egy felmérési oldal - például az ügyfelek visszajelzésére használt webhely - generálta az üzenetet.
Ügyfélfelmérés utánzása
Amikor a felhasználók a hivatkozásra kattintanak, egy eFax-megoldás oldalának meggyőző utánzatára kerülnek, amelyet egy Microsoft Dynamics 365 oldal jelenít meg, amelyet a támadók feltörtek.
Ez az oldal egy másik oldalra mutató hivatkozást tartalmaz, amely a jelek szerint a Microsoft Customer Voice felméréséhez vezet, hogy visszajelzést adjon az eFax szolgáltatásról, de ehelyett egy Microsoft bejelentkezési oldalra viszi az áldozatokat, amely kiszivárog a hitelesítő adataikat.
Az oldal legitimitásának további növelése érdekében a fenyegetőző odáig ment, hogy beágyazott egy videót az eFax megoldásokról a hamisított szolgáltatás részleteiért, és utasította a felhasználót, hogy bármilyen kérdés esetén forduljon az „@eFaxdynamic365” címhez.
Az oldal alján található „Küldés” gomb egyben további megerősítésként szolgál arra vonatkozóan, hogy a fenyegetés szereplője valódi Microsoft Customer Voice visszajelzési űrlapsablont használt az átveréshez – tették hozzá.
A támadók ezután „hamis eFax-információkkal” módosították a sablont, hogy rávegyék a címzettet a linkre kattintva, ami egy hamis Microsoft bejelentkezési oldalhoz vezet, amely elküldi hitelesítő adataikat a támadók által tárolt külső URL-re – írta a Sagibanda.
Képzett szem megtévesztése
Míg az eredeti kampányok sokkal egyszerűbbek voltak – csak minimális információt tartalmaztak a Microsoft felmérésében –, az eFax-hamisítási kampány tovább erősíti a kampány legitimitását, mondja Gallop.
A többlépcsős taktika és a kettős megszemélyesítés kombinációja lehetővé teszi az üzenetek átjutását a biztonságos e-mail-átjárókon, és még a legokosabb vállalati felhasználókat is megtéveszti, akiket az adathalász csalások észlelésére képeztek ki – jegyzi meg.
„Csak azok a felhasználók, akik a teljes folyamat minden szakaszában továbbra is ellenőrzik az URL-sávot, biztosan azonosítják ezt adathalász kísérletként” – mondja Gallop.
Valóban, a Vade kiberbiztonsági cég felmérése szerdán is megjelent megállapította, hogy márka megszemélyesítése továbbra is a legnépszerűbb eszköz, amellyel az adathalászok ráveszik az áldozatokat, hogy rosszindulatú e-mailekre kattintsanak.
Valójában a támadók a 2022 első felében megfigyelt kampányokban vették fel leggyakrabban a Microsoft személyét – állapították meg a kutatók –, bár az idén eddig megfigyelt adathalász kampányokban továbbra is a Facebook maradt a leginkább megszemélyesített márka.
Az adathalász játék erős marad
Gallop szerint a kutatók egyelőre nem azonosították, hogy ki állhat a csalás hátterében, sem a támadók konkrét indítékai a hitelesítő adatok ellopására.
A Vade-jelentés szerint az adathalászat továbbra is az egyik legegyszerűbb és leggyakrabban használt módja annak, hogy a fenyegetés szereplői kompromittálják az áldozatokat, nemcsak a hitelesítő adatok ellopására, hanem a rosszindulatú szoftverek terjesztésére is. .
Valójában az ilyen típusú támadások hónapról hónapra növekedtek az év második negyedévében, majd júniusban újabb lendületet tapasztaltak, ami „visszatolta az e-mailek riasztó mennyiségét 2022 januárja óta nem látott riasztó mennyiségre”, amikor Vade több mint 100-at ért el. millió adathalász e-mail terjesztésben.
„A hackerek viszonylagos egyszerűsége miatt e-mailben büntető kibertámadásokat hajthatnak végre, az e-mailt a támadások egyik legjelentősebb vektorává teszi, és állandó fenyegetést jelent a vállalkozások és a végfelhasználók számára” – írta a jelentésben Natalie Petitto, Vade. „Az adathalász e-mailek megszemélyesítik azokat a márkákat, amelyekben a legjobban megbízik, és a potenciális áldozatok széles hálóját kínálják, valamint a legitimitás palástját a márkának álcázó adathalászok számára.”
