Campania neobișnuită de phishing Microsoft 365 falsifică eFax-ul prin contul vocal compromis Dynamics

Un elaborat și destul de neobișnuit campanie de phishing falsifică notificările eFax și utilizează un cont de afaceri Dynamics 365 Customer Voice compromis pentru a atrage victimele să renunțe la acreditările prin intermediul paginilor microsoft.com.

Actorii amenințărilor au lovit zeci de companii prin intermediul campaniei pe scară largă, care este care vizează Microsoft 365 utilizatori dintr-o gamă variată de sectoare - inclusiv energie, servicii financiare, imobiliare comerciale, alimente, producție și chiar fabricarea de mobilier, au dezvăluit cercetătorii de la Cofense Phishing Defense Center (PDC) într-o postare pe blog publicată miercuri.

Campania folosește o combinație de tactici obișnuite și neobișnuite pentru a atrage utilizatorii să facă clic pe o pagină care pare să-i conducă la un sondaj de feedback al clienților pentru un serviciu eFax, dar în schimb le fură acreditările.

Atacatorii uzurpa identitatea nu numai eFax, ci și Microsoft utilizând conținut găzduit pe mai multe pagini microsoft.com în mai multe etape ale efortului în mai multe etape. Înșelătoria este una dintre numeroasele campanii de phishing pe care Cofense le-a observat încă din primăvară și care utilizează o tactică similară, spune Joseph Gallop, manager de analiză de informații la Cofense.

„În aprilie a acestui an, am început să vedem un volum semnificativ de e-mailuri de phishing folosind link-uri de sondaj ncv[.]microsoft[.]com încorporate de tipul celor folosite în această campanie”, a spus el pentru Dark Reading.

Combinație de tactici

The phishing emails use a conventional lure, claiming the recipient has received a 10-page corporate eFax that demands his or her attention. But things diverge from the beaten path after that, Cofense PDC’s Nathaniel Sagibanda explained in the Postarea de miercuri.

The recipient most likely will open the message expecting it’s related to a document that needs a signature. “However, that isn’t what we see as you read the message body,” he wrote.

Instead, the email includes what seems like an attached, unnamed PDF file that’s been delivered from a fax that does include an actual file — an unusual feature of a phishing email, according to Gallop.

“While a lot of credential phishing campaigns use links to hosted files, and some use attachments, it’s less common to see an embedded link posing as an attachment,” he wrote.

Intriga se îngroașă și mai jos în mesaj, care conține un subsol care indică faptul că a fost un site de sondaj – cum ar fi cele folosite pentru a oferi feedback-ul clienților – cel care a generat mesajul, potrivit postării.

Imitând un sondaj cu clienții

When users click the link, they are directed to a convincing imitation of an eFax solution page rendered by a Microsoft Dynamics 365 page that’s been compromised by attackers, researchers said.

Această pagină include un link către o altă pagină, care pare să conducă la un sondaj Microsoft Customer Voice pentru a oferi feedback despre serviciul eFax, dar duce victimele la o pagină de conectare Microsoft care le exfiltrează acreditările.

To further enhance legitimacy on this page, the threat actor went so far as to embed a video of eFax solutions for spoofed service details, instructing the user to contact “@eFaxdynamic365” with any inquiries, researchers said.

The “Submit” button at the bottom of the page also serves as additional confirmation that the threat actor used a real Microsoft Customer Voice feedback form template in the scam, they added.

The attackers then modified the template with “spurious eFax information to entice the recipient into clicking the link,” which leads to a faux Microsoft login page that sends their credentials to an external URL hosted by attackers, Sagibanda wrote.

A păcăli un ochi antrenat

În timp ce campaniile inițiale au fost mult mai simple - incluzând doar informații minime găzduite în sondajul Microsoft - campania de falsificare eFax merge mai departe pentru a consolida legitimitatea campaniei, spune Gallop.

Combinația sa de tactici în mai multe etape și dublă uzurpare a identității poate permite mesajelor să treacă prin gateway-uri de e-mail sigure, precum și să-i păcălească chiar și pe cei mai pricepuți dintre utilizatorii corporativi care au fost instruiți să detecteze înșelătoriile de tip phishing, notează el.

“Only the users that continue to check the URL bar at each stage throughout the entire process would be certain to identify this as a phishing attempt,” Gallop says.

Într-adevăr, un sondaj realizat de firma de securitate cibernetică Vade de asemenea, lansat miercuri a constatat că uzurparea identității mărcii continuă să fie instrumentul de top pe care phishingii îl folosesc pentru a păcăli victimele să facă clic pe e-mailuri rău intenționate.

De fapt, atacatorii și-au asumat cel mai des personajul Microsoft în campaniile observate în prima jumătate a anului 2022, au descoperit cercetătorii, deși Facebook rămâne marca cea mai personificată în campaniile de phishing observate până acum în acest an.

Jocul de phishing rămâne puternic

Researchers at this time have not identified who might be behind the scam, nor attackers’ specific motives for stealing credentials, Gallop says.

În general, phishing-ul rămâne una dintre cele mai ușoare și mai des folosite modalități de către actorii amenințărilor de a compromite victime, nu numai pentru a fura acreditările, ci și a răspândi software rău intenționat, deoarece malware-ul transmis prin e-mail este mult mai ușor de distribuit decât atacurile de la distanță, potrivit raportului Vade. .

Indeed, this type of attack saw month-over-month increases through the second quarter of the year and then another boost in June that pushed “emails back to the alarming volumes not seen since January 2022,” when Vade saw upwards of 100-plus million phishing emails in distribution.

“The relative ease with which hackers can deliver punishing cyberattacks via email makes email one of the top vectors for attack and a constant menace for businesses and end users,” Vade’s Natalie Petitto wrote in the report. “Phishing emails impersonate the brands you trust the most, offering a wide net of potential victims and a cloak of legitimacy for the phishers masquerading as brands.”