En forseggjort og ganske uvanlig phishing-kampanje forfalsker eFax-varsler og bruker en kompromittert Dynamics 365 Customer Voice-bedriftskonto for å lokke ofre til å gi fra seg påloggingsinformasjonen via microsoft.com-sider.
Trusselaktører har rammet dusinvis av selskaper gjennom den bredt spredte kampanjen, som er rettet mot Microsoft 365 brukere fra en rekke sektorer - inkludert energi, finansielle tjenester, kommersiell eiendom, mat, produksjon og til og med møbelproduksjon, avslørte forskere fra Cofense Phishing Defense Center (PDC) i et blogginnlegg publisert onsdag.
Kampanjen bruker en kombinasjon av vanlige og uvanlige taktikker for å lokke brukere til å klikke på en side som ser ut til å lede dem til en kundetilbakemeldingsundersøkelse for en eFax-tjeneste, men stjeler i stedet deres legitimasjon.
Angripere etterligner ikke bare eFax, men også Microsoft ved å bruke innhold som ligger på flere microsoft.com-sider i flere stadier av flertrinnsarbeidet. Svindelen er en av en rekke phishing-kampanjer som Cofense har observert siden våren som bruker en lignende taktikk, sier Joseph Gallop, leder for etterretningsanalyse i Cofense.
"I april i år begynte vi å se et betydelig volum av phishing-e-poster som bruker innebygde ncv[.]microsoft[.]com-undersøkelseslenker av den typen som brukes i denne kampanjen," sier han til Dark Reading.
Kombinasjon av taktikk
Phishing-e-postene bruker et konvensjonelt lokkemiddel, og hevder at mottakeren har mottatt en 10-siders corporate eFax som krever hans eller hennes oppmerksomhet. Men ting avviker fra allfarvei etter det, forklarte Cofense PDCs Nathaniel Sagibanda i Onsdagspost.
Mottakeren vil mest sannsynlig åpne meldingen og forventer at den er relatert til et dokument som trenger en signatur. "Men det er ikke det vi ser når du leser meldingsteksten," skrev han.
I stedet inkluderer e-posten det som ser ut som en vedlagt, navnløs PDF-fil som er levert fra en faks som inkluderer en faktisk fil - en uvanlig egenskap ved en phishing-e-post, ifølge Gallop.
"Mens mange legitimasjonsnettfisking-kampanjer bruker lenker til vertsbaserte filer, og noen bruker vedlegg, er det mindre vanlig å se en innebygd lenke som poserer som et vedlegg," skrev han.
Plottet tykner enda lenger ned i meldingen, som inneholder en bunntekst som indikerer at det var en undersøkelsesside – for eksempel de som ble brukt til å gi tilbakemeldinger fra kunder – som genererte meldingen, ifølge innlegget.
Etterligner en kundeundersøkelse
Når brukere klikker på lenken, ledes de til en overbevisende imitasjon av en eFax-løsningsside gjengitt av en Microsoft Dynamics 365-side som er blitt kompromittert av angripere, sa forskere.
Denne siden inneholder en kobling til en annen side, som ser ut til å føre til en Microsoft Customer Voice-undersøkelse for å gi tilbakemelding om eFax-tjenesten, men i stedet tar ofrene til en Microsoft-påloggingsside som eksfiltrerer legitimasjonen deres.
For ytterligere å styrke legitimiteten på denne siden, gikk trusselaktøren så langt som å legge inn en video av eFax-løsninger for falske tjenestedetaljer, og instruerte brukeren om å kontakte "@eFaxdynamic365" med eventuelle henvendelser, sa forskere.
"Send"-knappen nederst på siden fungerer også som en ytterligere bekreftelse på at trusselaktøren brukte en ekte Microsoft Customer Voice-tilbakemeldingsskjemamal i svindelen, la de til.
Angriperne modifiserte deretter malen med «falsk eFax-informasjon for å lokke mottakeren til å klikke på lenken», noe som fører til en falsk Microsoft-påloggingsside som sender deres legitimasjon til en ekstern URL som er vert for angripere, skrev Sagibanda.
Lure et trenet øye
Selv om de opprinnelige kampanjene var mye enklere – inkludert bare minimal informasjon som ble vert på Microsoft-undersøkelsen – går eFax-spoofing-kampanjen lenger for å styrke kampanjens legitimitet, sier Gallop.
Kombinasjonen av flertrinns taktikk og dobbel etterligning kan tillate meldinger å slippe gjennom sikre e-postgatewayer og lure selv de mest kyndige bedriftsbrukere som har blitt opplært til å oppdage phishing-svindel, bemerker han.
"Bare brukere som fortsetter å sjekke URL-linjen på hvert trinn gjennom hele prosessen vil være sikre på å identifisere dette som et phishing-forsøk," sier Gallop.
Faktisk, en undersøkelse fra cybersikkerhetsfirmaet Vade også utgitt onsdag fant at merkevareetterligning fortsetter å være det beste verktøyet som phishere bruker for å lure ofre til å klikke på ondsinnede e-poster.
Faktisk tok angripere på seg personligheten til Microsoft oftest i kampanjer observert i første halvdel av 2022, fant forskere, selv om Facebook fortsatt er den mest etterligne merkevaren i phishing-kampanjer observert så langt i år.
Phishing-spillet forblir sterkt
Forskere på dette tidspunktet har ikke identifisert hvem som kan stå bak svindelen, og heller ikke angripernes spesifikke motiver for å stjele legitimasjon, sier Gallop.
Nettfisking er generelt fortsatt en av de enkleste og mest brukte måtene for trusselaktører å kompromittere ofre, ikke bare for å stjele legitimasjon, men også spre ondsinnet programvare, ettersom e-postbåren malware er betydelig enklere å distribuere enn eksterne angrep, ifølge Vade-rapporten .
Denne typen angrep så faktisk økning fra måned til måned gjennom årets andre kvartal og deretter nok et løft i juni som presset "e-poster tilbake til de alarmerende volumene som ikke er sett siden januar 2022," da Vade så oppover 100 pluss millioner phishing-e-poster i distribusjon.
"Den relative lettheten hackere kan levere straffende nettangrep med via e-post, gjør e-post til en av de beste vektorene for angrep og en konstant trussel for bedrifter og sluttbrukere," skrev Vades Natalie Petitto i rapporten. «Phishing-e-poster etterligner merkevarene du stoler mest på, og tilbyr et bredt nett av potensielle ofre og en kappe av legitimitet for phishere som utgir seg for å være merkevarer.»
