Een uitgebreide en nogal ongebruikelijke phishing-campagne vervalst eFax-meldingen en gebruikt een gecompromitteerd Dynamics 365 Customer Voice-bedrijfsaccount om slachtoffers ertoe te verleiden hun inloggegevens op te geven via microsoft.com-pagina's.
Bedreigingsactoren hebben tientallen bedrijven getroffen via de breed verspreide campagne gericht op Microsoft 365 gebruikers uit een breed scala aan sectoren – waaronder energie, financiële diensten, commercieel onroerend goed, voedsel, productie en zelfs meubelmakerij, onthulden onderzoekers van het Cofense Phishing Defense Center (PDC) in een blogpost die woensdag werd gepubliceerd.
De campagne maakt gebruik van een combinatie van veel voorkomende en ongebruikelijke tactieken om gebruikers ertoe te verleiden op een pagina te klikken die hen naar een klantfeedbackonderzoek voor een eFax-service lijkt te leiden, maar in plaats daarvan hun inloggegevens steelt.
Aanvallers imiteren niet alleen eFax maar ook Microsoft door inhoud te gebruiken die wordt gehost op meerdere microsoft.com-pagina's in verschillende fasen van de meerfasige inspanning. De zwendel is een van een aantal phishing-campagnes die Cofense sinds het voorjaar heeft waargenomen en die een soortgelijke tactiek gebruiken, zegt Joseph Gallop, manager inlichtingenanalyse bij Cofense.
“In april van dit jaar zagen we een aanzienlijk aantal phishing-e-mails waarbij gebruik werd gemaakt van ingebedde ncv[.]microsoft[.]com-enquêtelinks van het soort dat in deze campagne werd gebruikt”, vertelt hij aan Dark Reading.
Combinatie van tactieken
De phishing-e-mails maken gebruik van een conventionele lokmiddel, waarbij wordt beweerd dat de ontvanger een zakelijke eFax van 10 pagina's heeft ontvangen die zijn of haar aandacht opeist. Maar daarna wijken de zaken af van de gebaande paden, legt Nathaniel Sagibanda van Cofense PDC uit in de Woensdag bericht.
De ontvanger zal het bericht hoogstwaarschijnlijk openen in de verwachting dat het betrekking heeft op een document dat een handtekening nodig heeft. "Dat is echter niet wat we zien als je de berichttekst leest", schreef hij.
In plaats daarvan bevat de e-mail wat lijkt op een bijgevoegd, naamloos PDF-bestand dat is afgeleverd vanaf een fax die wel een echt bestand bevat - een ongebruikelijk kenmerk van een phishing-e-mail, volgens Gallop.
"Hoewel veel phishing-campagnes met inloggegevens links naar gehoste bestanden gebruiken, en sommige bijlagen, is het minder gebruikelijk dat een ingebedde link zich voordoet als bijlage", schreef hij.
De plot wordt nog dieper in het bericht, dat een voettekst bevat die aangeeft dat het een enquêtesite was – zoals die worden gebruikt om feedback van klanten te geven – die het bericht heeft gegenereerd, aldus het bericht.
Een klantenonderzoek nabootsen
Wanneer gebruikers op de link klikken, worden ze doorgestuurd naar een overtuigende imitatie van een eFax-oplossingspagina die wordt weergegeven door een Microsoft Dynamics 365-pagina die is aangetast door aanvallers, aldus onderzoekers.
Deze pagina bevat een link naar een andere pagina, die lijkt te leiden naar een Microsoft Customer Voice-enquête om feedback te geven over de eFax-service, maar brengt slachtoffers in plaats daarvan naar een Microsoft-inlogpagina die hun inloggegevens exfiltreert.
Om de legitimiteit op deze pagina verder te vergroten, ging de bedreigingsacteur zelfs zo ver dat hij een video invoegde van eFax-oplossingen voor vervalste servicedetails, waarbij de gebruiker werd geïnstrueerd om bij vragen contact op te nemen met “@eFaxdynamic365”, aldus onderzoekers.
De knop ‘Verzenden’ onderaan de pagina dient ook als extra bevestiging dat de dader een echte Microsoft Customer Voice-feedbackformuliersjabloon heeft gebruikt bij de zwendel, voegde ze eraan toe.
De aanvallers pasten vervolgens de sjabloon aan met “valse eFax-informatie om de ontvanger te verleiden op de link te klikken”, wat leidt naar een nep-inlogpagina van Microsoft die hun inloggegevens naar een externe URL stuurt die door aanvallers wordt gehost, schreef Sagibanda.
Een geoefend oog voor de gek houden
Hoewel de oorspronkelijke campagnes veel eenvoudiger waren – met slechts minimale informatie uit de Microsoft-enquête – gaat de eFax-spoofing-campagne nog verder om de legitimiteit van de campagne te versterken, zegt Gallop.
De combinatie van tactieken in meerdere fasen en dubbele nabootsing kan ervoor zorgen dat berichten door beveiligde e-mailgateways glippen en zelfs de meest slimme zakelijke gebruikers voor de gek houden die zijn getraind om phishing-fraude op te sporen, merkt hij op.
"Alleen de gebruikers die de URL-balk in elke fase van het hele proces blijven controleren, zullen dit zeker identificeren als een phishing-poging", zegt Gallop.
Inderdaad, Dat blijkt uit een onderzoek van cybersecuritybedrijf Vade Ook woensdag vrijgelaten bleek dat imitatie van het merk Het blijft het belangrijkste hulpmiddel dat phishers gebruiken om slachtoffers te misleiden zodat ze op kwaadaardige e-mails klikken.
In feite namen aanvallers het vaakst de persona van Microsoft aan in campagnes die in de eerste helft van 2022 werden waargenomen, ontdekten onderzoekers, hoewel Facebook het meest nagebootste merk blijft in phishing-campagnes die tot nu toe dit jaar zijn waargenomen.
Phishing-spel blijft sterk
Onderzoekers hebben op dit moment nog niet vastgesteld wie er achter de zwendel zit, noch wat de specifieke motieven van de aanvallers zijn om inloggegevens te stelen, zegt Gallop.
Phishing blijft over het algemeen een van de gemakkelijkste en meest gebruikte manieren voor bedreigingsactoren om slachtoffers te compromitteren, niet alleen om inloggegevens te stelen, maar ook om kwaadaardige software te verspreiden, aangezien via e-mail verzonden malware aanzienlijk gemakkelijker te verspreiden is dan aanvallen op afstand, aldus het Vade-rapport. .
Dit type aanval kende in het tweede kwartaal van het jaar maand-op-maand stijgingen en vervolgens een nieuwe impuls in juni die “het aantal e-mails terugduwde naar de alarmerende volumes die we sinds januari 2022 niet meer gezien hebben”, toen Vade meer dan 100 e-mails zag. miljoen phishing-e-mails in distributie.
“Het relatieve gemak waarmee hackers straffende cyberaanvallen via e-mail kunnen uitvoeren, maakt e-mail tot een van de belangrijkste aanvalsvectoren en een constante bedreiging voor bedrijven en eindgebruikers”, schreef Natalie Petitto van Vade in het rapport. “Phishing-e-mails imiteren de merken die u het meest vertrouwt, bieden een breed netwerk van potentiële slachtoffers en een mantel van legitimiteit voor de phishers die zich voordoen als merken.”
