정교하고 다소 특이한 피싱 캠페인 eFax 알림을 스푸핑하고 손상된 Dynamics 365 Customer Voice 비즈니스 계정을 사용하여 피해자가 microsoft.com 페이지를 통해 자격 증명을 포기하도록 유인하고 있습니다.
위협 행위자는 광범위하게 확산된 캠페인을 통해 수십 개의 회사를 공격했습니다. Microsoft 365를 타겟팅합니다. Cofense Phishing Defense Center(PDC)의 연구원들은 수요일에 게시된 블로그 게시물에서 에너지, 금융 서비스, 상업용 부동산, 식품, 제조, 가구 제조 등 다양한 분야의 사용자를 보유하고 있다고 밝혔습니다.
이 캠페인은 일반적이고 특이한 전술을 조합하여 사용자가 eFax 서비스에 대한 고객 피드백 설문조사로 연결되는 것처럼 보이는 페이지를 클릭하도록 유도하지만 대신 사용자의 자격 증명을 훔칩니다.
공격자는 다단계 노력의 여러 단계에서 여러 microsoft.com 페이지에 호스팅된 콘텐츠를 사용하여 eFax뿐만 아니라 Microsoft도 사칭합니다. Cofense의 정보 분석 관리자인 Joseph Gallop은 이번 사기는 유사한 전술을 사용하는 Cofense가 봄부터 관찰한 수많은 피싱 캠페인 중 하나라고 말합니다.
"올해 XNUMX월에 우리는 이 캠페인에 사용된 것과 같은 내장된 ncv[.]microsoft[.]com 설문조사 링크를 사용하는 상당한 양의 피싱 이메일을 발견하기 시작했습니다."라고 그는 Dark Reading에 말했습니다.
전술의 조합
피싱 이메일은 수신자가 주의를 요하는 10페이지 분량의 회사 eFax를 받았다고 주장하는 전통적인 미끼를 사용합니다. 그러나 Cofense PDC의 Nathaniel Sagibanda는 그 이후로 상황이 예전과 달라졌다고 설명했습니다. 수요일 포스트.
수신자는 서명이 필요한 문서와 관련이 있을 것으로 예상하여 메시지를 열 가능성이 높습니다. “그러나 메시지 본문을 읽을 때 우리가 보는 것은 그렇지 않습니다.”라고 그는 썼습니다.
대신 이메일에는 실제 파일이 포함된 팩스에서 전달된 첨부된 이름 없는 PDF 파일처럼 보이는 내용이 포함되어 있습니다. 이는 Gallop에 따르면 피싱 이메일의 특이한 기능입니다.
그는 “많은 자격 증명 피싱 캠페인이 호스팅된 파일에 대한 링크를 사용하고 일부는 첨부 파일을 사용하지만 첨부 파일로 위장한 내장 링크를 보는 경우는 흔하지 않습니다.”라고 썼습니다.
게시물에 따르면 메시지 아래에는 고객 피드백을 제공하는 데 사용되는 설문조사 사이트와 같은 설문조사 사이트임을 나타내는 바닥글이 포함되어 있어 줄거리가 더욱 두꺼워집니다.
고객 설문조사 흉내내기
사용자가 링크를 클릭하면 공격자에 의해 손상된 Microsoft Dynamics 365 페이지에서 렌더링된 eFax 솔루션 페이지를 설득력 있게 모방한 페이지로 연결된다고 연구진은 말했습니다.
이 페이지에는 eFax 서비스에 대한 피드백을 제공하기 위한 Microsoft Customer Voice 설문조사로 연결되는 다른 페이지에 대한 링크가 포함되어 있지만 대신 피해자의 자격 증명을 유출하는 Microsoft 로그인 페이지로 연결됩니다.
이 페이지의 합법성을 더욱 강화하기 위해 위협 행위자는 스푸핑된 서비스 세부 정보에 대한 eFax 솔루션의 비디오를 삽입하고 사용자에게 문의 사항이 있는 경우 "@eFaxdynamic365"에 문의하도록 지시했다고 연구진은 밝혔습니다.
페이지 하단에 있는 "제출" 버튼은 위협 행위자가 사기에 실제 Microsoft Customer Voice 피드백 양식 템플릿을 사용했다는 추가 확인 역할도 한다고 덧붙였습니다.
그런 다음 공격자는 "수신자가 링크를 클릭하도록 유도하기 위해 가짜 eFax 정보"로 템플릿을 수정했으며, 이는 공격자가 호스팅하는 외부 URL로 자격 증명을 보내는 가짜 Microsoft 로그인 페이지로 연결된다고 Sagibanda는 썼습니다.
훈련된 눈을 속이기
원래 캠페인은 Microsoft 설문 조사에서 호스팅된 최소한의 정보만 포함하여 훨씬 간단했지만 eFax 스푸핑 캠페인은 캠페인의 합법성을 더욱 강화한다고 Gallop은 말합니다.
다단계 전술과 이중 사칭을 결합하면 메시지가 안전한 이메일 게이트웨이를 통과할 수 있을 뿐만 아니라 피싱 사기를 탐지하도록 훈련받은 가장 능숙한 기업 사용자도 속일 수 있다고 그는 지적합니다.
Gallop은 "전체 프로세스의 각 단계에서 URL 표시줄을 계속 확인하는 사용자만이 이를 피싱 시도로 식별할 수 있습니다."라고 말합니다.
과연, 사이버 보안 회사인 Vade의 설문조사 또한 수요일에 발표된 내용에 따르면 브랜드 사칭 피셔는 피해자가 악성 이메일을 클릭하도록 속이기 위해 계속해서 가장 많이 사용하는 도구입니다.
실제로 연구원들은 2022년 상반기에 관찰된 캠페인에서 공격자들이 Microsoft를 가장 자주 사칭한 것으로 나타났습니다. 하지만 올해 지금까지 관찰된 피싱 캠페인에서는 Facebook이 가장 많이 사칭된 브랜드로 남아 있습니다.
피싱 게임은 여전히 강세를 보이고 있습니다.
현재 연구원들은 사기 배후가 누구인지, 공격자가 자격 증명을 훔치려는 구체적인 동기를 파악하지 못했다고 Gallop은 말합니다.
Vade 보고서에 따르면, 전체적으로 피싱은 위협 행위자가 자격 증명을 훔칠 뿐만 아니라 악성 소프트웨어를 확산시키기 위해 피해자를 손상시키는 가장 쉽고 가장 자주 사용되는 방법 중 하나로 남아 있습니다. 이메일 기반 악성 코드는 원격 공격보다 배포하기가 훨씬 더 쉽기 때문입니다. .
실제로 이러한 유형의 공격은 올해 2022분기까지 전월 대비 증가세를 보였으며 100월에는 또 다른 증가세를 보여 Vade가 XNUMX개 이상의 이메일을 기록했던 XNUMX년 XNUMX월 이후 볼 수 없었던 놀라운 수준으로 이메일을 다시 보냈습니다. 백만 개의 피싱 이메일이 배포되고 있습니다.
Vade의 Natalie Petitto는 보고서에서 “해커가 이메일을 통해 처벌적인 사이버 공격을 가할 수 있는 상대적으로 쉬운 점은 이메일을 공격의 주요 벡터 중 하나로 만들고 기업과 최종 사용자에게 지속적인 위협이 됩니다.”라고 썼습니다. "피싱 이메일은 가장 신뢰하는 브랜드를 사칭하여 잠재적인 피해자의 광범위한 그물을 제공하고 브랜드로 가장하는 피셔에게 합법성을 은폐합니다."
